Hoy las empresas sometidas a la normativa europea sobre privacidad deben revisar todos aquellos procesos en los que exista un flujo de datos personales, a fin de adaptarlos a la norma legal.
Esta revisión debe ser exhaustiva, pues todas las áreas de la compañía están expuestas a tratar datos personales; y además estar en permanente actualización, pues lo normal es que estos flujos cambien continuamente, por la aparición de nuevos actores o por la implantación de nuevas tareas.
Como organización, una empresa desempeña múltiples roles; y en todos ellos la privacidad de los datos personales debe tenerse muy en cuenta:
Como proveedor: en el desarrollo de su actividad, y al suscribir contratos con sus clientes, la compañía recaba datos personales de éstos y pasa a ser encargada de los mismos, lo que le obliga a respetar los derechos digitales de sus titulares. En estos casos, normalmente es el cliente quien propone -o “impone”- al proveedor su política de privacidad, pero de no ser así es muy conveniente advertirle.
Puede suceder que, además, la empresa preste servicios en virtud de los cuales tenga acceso a los datos personales de los “clientes de sus clientes”; así ocurre, por ejemplo, cuando se gestionan datos de usuarios de redes sociales del cliente, como es el caso de Findasense. Ello obliga al proveedor a un grado muy alto de cumplimiento normativo, pues una infracción no solo podría suponer una sanción por las autoridades correspondientes, sino -lo que probablemente sea peor- un grave problema con el cliente.
Como cliente: cualquier compañía contrata diversos servicios para desarrollar su actividad, a través de sus áreas de soporte (Legal, Finanzas, Administración). Pueden ser proveedores materiales (como los suministros, limpieza, impresora, el alquiler de la oficina, pólizas de seguro), de partners (abogados, gestores) o bien proveedores para el desarrollo de la actividad propia (empresas subcontratadas, “freelances”, apps y herramientas de gestión).
En todos estos casos, la compañía cede a un tercero determinados datos personales, y como responsable de los mismos tiene la obligación de establecer en un anexo las condiciones de esa cesión.Es recomendable elaborar una política estándar para incorporar a todos los contratos, aunque en algunas ocasiones ello no sea posible (como las apps o los contratos online, que no admiten negociación alguna).
Como empleador: la empresa deberá adaptar su modelo de contrato de trabajo a la normativa sobre privacidad, incluyendo una cláusula por la que el trabajador permite el uso de sus datos personales a efectos meramente internos -como la gestión de su nómina o de beneficios laborales.
Así, dado que la normativa sobre privacidad afecta a múltiples áreas de la compañía, es fundamental que la comprensión y el respeto de sus principios formen parte de la propia cultura de la organización.