Business Angels y la Responsabilidad en la Protección de Datos en España

Los business angels, como inversores privados esenciales para impulsar proyectos emergentes, no solo aportan capital y conocimiento especializado, sino que también deben navegar por el complejo panorama de la protección de datos. En España, este ecosistema de inversión está predominado por hombres con una edad media de 52 años y experiencia previa, aunque también emergen nuevos inversores que han comenzado a operar en los últimos dos años. Los sectores más atractivos para la financiación incluyen salud, biotecnología, aeroespacial y financiero.

La Asociación Española de Business Angels (AEBAN) es una de las principales entidades que promueven la figura del inversor privado en España, destacando la importancia de estos agentes en el panorama empresarial. Sin embargo, la inversión en startups y pymes implica el manejo de una gran cantidad de datos personales, lo que conlleva una serie de responsabilidades en materia de protección de datos.

El Rol de los Business Angels y la Gestión de Datos

Un business angel es un individuo que toma sus propias decisiones de inversión y que aporta su propio dinero y, en ocasiones, su tiempo, a empresas no cotizadas promovidas por personas que le son ajenas. Invierten fondos propios en el proyecto (a diferencia del capital riesgo) y deciden personalmente los proyectos o empresas en las que invertir. La participación suele ser en empresas en fases iniciales, ya que su capacidad de inversión por operación suele ser limitada, lo que les permite entrar cuando la valoración de la compañía no es muy elevada. Están profesionalizados e invierten en sectores en los que ya han tenido experiencia previa.

Como cualquier inversor privado, los business angels entienden los riesgos asociados a cada operación, por lo que siempre buscan una alta rentabilidad. Algunos de estos inversores forman parte de la junta directiva de la startup, mientras que otros actúan como asesores externos que monitorizan el día a día del negocio. En ambos casos, el acceso a información sensible y datos personales es una constante.

La Importancia del Reglamento General de Protección de Datos (RGPD) y la LOPD-GDD

Desde el mismo momento en que se comienza a confeccionar una lista de contactos comerciales, la protección de datos es crucial. Toda gestión que conlleve datos personales (clientes, potenciales clientes, proveedores, trabajadores, usuarios, contactos, etc.) está sometida al cumplimiento del Reglamento UE 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD). Ambas normativas son de obligado cumplimiento.

El cumplimiento de estas leyes no es una opción, sino una obligación. Las empresas y autónomos pueden ser sancionados por la Agencia Española de Protección de Datos (AEPD), el organismo encargado de velar por el cumplimiento de la LOPD GDD, que derogó a la antigua LOPD de 1999 y da cobertura al RGPD a nivel nacional.

Obligaciones Clave en Protección de Datos:

1. Registro de Actividades de Tratamiento: Se debe mantener un documento “vivo” que contenga el tipo de datos que se recogen, la finalidad de esos datos, con quién se comparten, cuánto tiempo se guardan, la base de legitimación del tratamiento (consentimiento, ejecución de contrato, obligación legal, etc.), entre otros detalles. Este registro puede ser solicitado por la AEPD.
2. Información a los Interesados: Es fundamental informar a los titulares de los datos sobre quién es el Responsable del tratamiento, qué se va a hacer con los datos, en qué se basa el tratamiento, cuánto tiempo se conservarán, si se van a compartir con alguien y dónde pueden ejercer sus derechos (acceso, rectificación, supresión, oposición, limitación y portabilidad).
3. Medidas de Seguridad: La seguridad es imprescindible. Aunque no se requiere convertir la actividad en el "Pentágono", sí es necesario dotarse de medidas que protejan la información. Esto incluye trabajar con software original y actualizado, protegerse con antivirus, firewalls, utilizar VPNs, hacer copias de seguridad, cambiar las contraseñas regularmente, restringir los accesos y cifrar la información. El INCIBE ofrece recursos y videos útiles sobre este tema.
4. Análisis de Riesgos: Según el RGPD, la seguridad debe enfocarse "desde el riesgo". Esto significa que se deben analizar los riesgos específicos de cada actividad. No es lo mismo una web para vender ropa que una clínica estética que maneja datos de salud. Identificar y gestionar estos riesgos es crucial para priorizar las acciones de seguridad. El "Kit Digital" puede ser una ayuda para obtener subvenciones en este ámbito.
5. Notificación de Brechas de Seguridad: Si ocurre un problema de seguridad que afecte a datos personales, existe la obligación de ponerlo en conocimiento de la Agencia Española de Protección de Datos en un plazo máximo de 72 horas, con matices según la gravedad del incidente.
6. Contratos con Terceros (Encargados del Tratamiento): Cualquier tercero que pueda acceder a los datos personales bajo responsabilidad del business angel o la startup (gestorías, software de gestión, hosting, plataformas de trabajo, desarrolladores web) debe tener una relación formalizada mediante un contrato de tratamiento de datos ("Data Processing Agreement"). Es crucial elegir bien a estos proveedores, preferiblemente dentro de la Unión Europea o en países con un nivel de seguridad equivalente.

Seguro de Protección de Datos para Empresas y Autónomos

Con la entrada en vigor del Reglamento General de Protección de Datos, es sumamente importante contratar un seguro de protección de datos LOPD para estar protegido en caso de incumplimiento de la ley. Este tipo de seguro ofrece una amplia cobertura frente a las nuevas legislaciones y posibles sanciones.

Coberturas del Seguro de Protección de Datos:

• Responsabilidad Civil por Violación de la Privacidad: Cubre los daños causados a terceros por la violación de la privacidad.
• Multas y Sanciones por Vulneración de la Normativa de Protección de Datos: Ofrece protección ante las multas y sanciones impuestas por la Agencia de Protección de Datos.
• Gastos Derivados de Notificación por Violación de Privacidad: Cubre los costes asociados a la notificación a los afectados en caso de una brecha de seguridad.
• Gastos de Restitución de Imagen: Ayuda a cubrir los gastos para restaurar la imagen de la empresa o el inversor tras sanciones impuestas por la AEPD.
• Gastos de Defensa, Fianzas y Conflicto de Intereses: Cubre los costes legales asociados a la defensa en procedimientos relacionados con la protección de datos.

Las ventajas de estos seguros suelen incluir primas muy ajustadas, coberturas sin sublímites y, en muchos casos, sin franquicia (excepto para multas y sanciones).

Tabla: Comparativa de Coberturas en Seguros de Protección de Datos

Cómo Proteger la Información Personal Recopilada

La política de privacidad de cualquier entidad que maneje datos personales debe establecer cómo se recopila, utiliza, divulga y protege la información. Por ejemplo, en el contexto de plataformas para ángeles inversionistas, se recopilan datos al rellenar formularios, mediante comunicaciones escritas o telefónicas, detalles de transacciones y encuestas. Esta información incluye datos de contacto, experiencia, conocimientos especializados, identificadores únicos y preferencias de inversión. Además, se recopila información técnica automáticamente como direcciones IP, tipo de navegador y datos de visitas para analizar tendencias y administrar el sitio.

Uso y Divulgación de la Información:

• Cumplir obligaciones legales y contractuales.
• Proporcionar productos, servicios e información solicitada.
• Enviar información de interés.
• Presentar el contenido del sitio de manera conveniente.

La información personal no suele venderse a terceros, pero puede divulgarse a miembros del grupo empresarial (filiales, empresa matriz) y a terceros en situaciones específicas como la venta de negocios o activos, para cumplir con obligaciones legales, o para proteger derechos y propiedades. También puede compartirse con dueños de propuestas de inversión o empresas de servicios que ayuden con actividades empresariales como el procesamiento de pagos.

Derechos de los Usuarios:

Los usuarios tienen derecho a acceder a la información que se posee sobre ellos, así como a solicitar su eliminación, una copia de la misma, su transferencia, restringir o detener el procesamiento y retirar el consentimiento. Es importante que las empresas y plataformas proporcionen medios sencillos para ejercer estos derechos y respondan en un plazo de un mes.

Cookies y Tecnologías de Seguimiento:

Se utilizan cookies, balizas, etiquetas y scripts para analizar tendencias, administrar el sitio, rastrear movimientos de usuarios y recopilar información demográfica. Los usuarios pueden controlar el uso de cookies a través del navegador, aunque esto puede limitar la funcionalidad de algunas áreas del sitio.

Almacenamiento y Seguridad de la Información:

Los datos recopilados pueden ser transferidos y almacenados dentro o fuera del Espacio Económico Europeo (EEE). Es crucial que se garantice una protección adecuada, por ejemplo, mediante cláusulas contractuales tipo aprobadas por la Comisión Europea o certificaciones de Escudo de Privacidad. Se utilizan servidores seguros y tecnología SSL para encriptar la transmisión de información sensible. La seguridad de los datos personales es una prioridad, pero es fundamental reconocer que ningún método de transmisión por Internet o almacenamiento electrónico es 100% seguro.

Es vital que los usuarios mantengan la confidencialidad de sus contraseñas y no las compartan. Además, cualquier información proporcionada en áreas públicas puede ser leída, recopilada y utilizada por otros.

La Cultura de la Privacidad en el Ecosistema Emprendedor

Cumplir con los principios establecidos en el RGPD (responsabilidad proactiva, minimización, limitación de la finalidad, limitación de la conservación de los datos, exactitud, etc.) es una tarea que debe integrarse en la forma de trabajar. Implica cambiar hábitos y estar pendiente de ciertas cosas. Contar con un asesor especializado en protección de datos que pueda orientar y resolver dudas es invaluable.

Es importante desconfiar de ofertas de asesoramiento gratuito a cambio de formación (que puede ser un fraude) o de aquellos que no dedican tiempo a entender el negocio y ofrecer consejos a medida. La inversión en una asesoría adecuada desde el principio puede evitar problemas y sanciones significativas en el futuro.