Sabemos que cuando se está creando una startup, la lista de prioridades es interminable: registrar la empresa, buscar proveedores, gestión de facturas, impuestos trimestrales, desarrollar un MVP, marketing, networking, financiación, talento... ¡la protección de datos parece algo que se puede posponer! Pero no te equivoques: no integrar la privacidad desde el diseño puede costar mucho más tarde. No solo hablamos de sanciones (que, por cierto, pueden llegar a ser bastante dolorosas, pero de eso hablaremos más adelante), sino también de la pérdida de la confianza de los futuros usuarios e inversores. Y si algo hemos aprendido trabajando con startups es que la confianza es uno de los activos más valiosos.
De hecho, cuando lanzamos nuestra IA jurídica, ELIA DIAZ JAMES, teníamos claro que la privacidad debía ser uno de los pilares fundamentales, aunque en principio no se nos aplicase el Reglamento General de Protección de datos al estar diseñada para empresas. Aun así, decidimos asumir la responsabilidad y comprometernos con la protección de los datos de nuestros usuarios. Sabíamos que privacidad y confidencialidad serían las claves para el éxito de la herramienta.
Por eso hoy queremos hablaros de uno de los conceptos más importantes para el éxito de cualquier empresa tecnológica: el Privacy by Design o Privacidad desde el Diseño.
¿Qué es el Privacy by Design?
Cuando hablamos de Privacy by Design nos referimos a integrar la protección de los datos personales de los usuarios desde la fase inicial de cualquier producto o servicio. Esto significa que no basta con pensar en la privacidad al final del proceso, cuando el proyecto está desplegado. Se trata de diseñar desde el principio con la privacidad como una base que influya en el desarrollo.
El Artículo 25 del RGPD nos dice claramente que las organizaciones deben aplicar medidas técnicas y organizativas adecuadas para garantizar que los principios de protección de datos se tengan en cuenta y se integren en el diseño y el funcionamiento de sus sistemas, productos y servicios. Es decir, que el tratamiento de los datos personales debe estar por defecto.
La importancia del Privacy by Design en el due diligence para inversores
Cuando la startup esté lista para abrir una ronda de inversión, el equipo fundador se enfrentará al proceso de due diligence por parte de los inversores. En este proceso, los inversores analizan minuciosamente el estado legal y financiero de la empresa para asegurarse de que no existen riesgos ocultos. Y, créenos, una de las áreas en las que más atención ponen es en cómo se gestionan los datos personales.
Los inversores quieren garantías de que la empresa en la que van a poner su dinero no va a estar expuesta a sanciones por incumplimientos del RGPD, o lo que es peor, que no vaya a saltar en las noticias por una brecha de seguridad que arruine su reputación (mira el caso Crowdstrike). Si no se ha aplicado el Privacy by Design desde el inicio, este será un punto rojo en el due diligence y podría incluso hacer que una inversión clave se pierda.
Por eso, al adoptar un enfoque proactivo en privacidad desde el diseño, no solo se está protegiendo a la startup de posibles sanciones, sino que se está incrementando su valor ante futuros inversores. Una empresa que demuestre que cumple con la normativa y tiene medidas sólidas de protección de datos será mucho más atractiva en cualquier ronda de inversión. Los inversores no solo buscan empresas innovadoras, también quieren estar tranquilos sabiendo que la base legal de la startup es sólida y que no habrá sorpresas desagradables más adelante.
Sanciones por no cumplir con el RGPD y la LOPDGDD
Y sí, hablemos de sanciones, porque esto no es un tema menor. Si una startup no cumple con el RGPD y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), la Agencia Española de Protección de Datos (AEPD) puede imponer sanciones económicas que pueden ser devastadoras para una empresa que está empezando.
Vamos a desglosarlas:
· Infracciones leves: Hasta 40.000 euros de multa. Pueden parecer cantidades pequeñas, pero para una startup en fases iniciales, puede suponer un golpe importante. Estas sanciones prescriben en un año.
· Infracciones graves: Entre 40.001 y 300.000 euros. ¿la startup está preparada para asumir este varapalo? Estas sanciones prescriben en dos años.
· Infracciones muy graves: De 300.001 euros hasta 20 millones de euros o el 4% del volumen de facturación anual, lo que sea mayor. Estas prescriben a los tres años.
La AEPD evalúa cada infracción según su gravedad, teniendo en cuenta cosas como el número de afectados, los daños ocasionados, y si se trata de datos sensibles. Además, se consideran otros factores, como la intención (si ha sido un error o una infracción deliberada) o las medidas que has tomado para mitigar el daño.
El apercibimiento: una segunda oportunidad
El primer comunicado de la AEPD en caso de dudas en la protección de datos será probablemente un apercibimiento, que es como una especie de aviso o "tirón de orejas" que da la AEPD. En lugar de imponer una sanción, pueden dar un plazo para corregir los problemas. Eso sí, esta opción solo está disponible si es la primera vez que se comete una infracción y si no se ha recibido ya un apercibimiento anteriormente.
¡Cuidado! Si bien el apercibimiento puede parecer una salida fácil, debe tomarse como lo que es: una última oportunidad para ajustar el negocio a las normas de protección de datos. Ignorar una advertencia así podría llevar directamente a una sanción.
Cómo actúa la AEPD a la hora de sancionar
Nosotras siempre insistimos en que aunque hay criterios subjetivos, las sanciones no son aleatorias sino fruto de una investigación. La AEPD estudia cada caso de forma independiente y tiene en cuenta varios factores antes de decidir la cuantía de la sanción:
· Naturaleza, gravedad y duración de la infracción.
· Número de personas afectadas y el nivel de perjuicio sufrido.
· Intencionalidad o negligencia del infractor.
· Tipo de datos comprometidos.
· Responsabilidad del responsable del tratamiento.
· Reiteración de infracciones anteriores.
· Medidas correctivas adoptadas para mitigar los daños.
· Grado de cooperación con la AEPD.
· Forma de detección de la infracción (si fue notificada o descubierta por la AEPD).
· Cumplimiento previo de medidas impuestas por la AEPD.
· Adhesión a códigos de conducta o certificaciones.
· Beneficios obtenidos por la infracción y reincidencia.
· Afectación a derechos de menores y la existencia de un DPO.
La proactividad: la mejor estrategia para evitar sanciones
En lugar de quedarse esperando a que surjan los problemas, lo mejor que se puede hacer es adoptar un enfoque proactivo. Esto es clave en el Privacy by Design: no se trata de apagar fuegos, sino de anticiparse a ellos.
Realiza siempre una Auditoría de Protección de datos antes de lanzar cualquier producto o servicio que maneje datos personales. Esto permitirá identificar los riesgos y adoptar las medidas adecuadas para mitigarlos.
Y si existen dudas, se puede profundizar con una Evaluación del Impacto o incluso contar con un Delegado de Protección de Datos (DPO), aunque no siempre es obligatorio. Tener un DPO es una señal de que se está comprometido con la protección de datos, y además puede ayudar a resolver problemas antes de que escalen.
También, si es posible, aplicar el cifrado y la anonimización a los datos que se recopilen como medidas técnicas que protegerán en caso de una violación de seguridad. Especialmente en proyectos desarrollados en Blockchains públicas o con transferencia internacional de datos.
Comments