Si eres una empresa SaaS, el Reglamento Europeo de Protección de Datos (GDPR por sus siglas en inglés) te aplica de forma intensa y extensa. Tienes que tener en cuenta que si eres una empresa SaaS tendrás que cubrir la parte de protección de datos que aplica a tus clientes y a los clientes de tus clientes. También deberás tener claro que tus proveedores de hosting estén adaptados a esta nueva normativa que aplica, sin discriminación alguna, a cualquier persona física o jurídica que trate datos personales.
Tabla de contenidos
Empecemos por tus proveedores. ¿Cómo asegurar que un proveedor de hosting está adaptado al GDPR?
Es muy importante que, si vas a dar un servicio SaaS, tu hosting esté cubierto para dar un servicio GDPR Compliance.
Para entender esto hemos de partir de la distinción de los 2 sujetos clave en el tratamiento de datos personales: el Responsable del tratamiento y el Encargado del tratamiento.
Podríamos decir que el responsable es “quien manda”, pues establece los fines y medios del tratamiento.
El encargado de tratamiento quien trata los datos siguiendo instrucciones del responsable. Si eres una empresa Saas, estarás prestando un servicio a tus clientes, quienes usarán tu Saas introduciendo datos personales propios o de terceros.
Es decir, tus clientes serán los responsables de tratamiento y tú serás un encargado de tratamiento.
Contrato de encargo de tratamiento
El GDPR obliga a firmar un contrato de encargo de tratamiento o acceso a datos entre el responsable y el encargado.
No obstante, permite que se haga mediante cualquier acto jurídico, por lo que lo normal es que se establezca en las condiciones de contratación del Saas o en la Política de Privacidad que deberá ser aceptada por los clientes.
En este contrato (cuyo contenido mínimo viene recogido en artículo 28 del RDPD) se debe indicar que el encargado (empresa Saas) únicamente tratará los datos personales del cliente (responsable de tratamiento) siguiendo sus instrucciones. Y deberá demostrarle que cumple con los niveles de seguridad y, en general, con la normativa de protección de datos.
Esto incluye indicar si va a haber subencargados de tratamiento, en cuyo caso éstos también deberán cumplir con la normativa y firmar un contrato de encargo con el encargado (contrato encargado-subencargado), convirtiéndose el encargado en responsable, de cara al subencargado.
Es decir, que si eres una empresa Saas y subcontratas el hosting, debes asegurarte que tu proveedor de hosting cumpla con el RGPD.
Además, con el RGPD se deben firmar nuevos contratos de tratamiento, pues las reglas del juego han cambiado y las condiciones y el contenido de dichos contratos es mucho más meticuloso que con la actual LOPD.
Ahora tus clientes. ¿Cómo dar cobertura al GDPR desde una empresa SaaS?
En este caso es el modelo más claro y directo.
Tú tienes una empresa SaaS y tienes clientes que te pagan. En el registro de este cliente, es muy importante que los documentos donde explicas los términos y condiciones y política de privacidad (incluyendo la cláusula de encargo de tratamiento) estén publicados de forma clara y el cliente los acepte de forma explícita al darse de alta.
Además, recordad que ya no valen los consentimientos tácitos ni las casillas de aceptación ya marcadas.
Por último, ¿Cómo asegurar que tus clientes dan un servicio claro a sus usuarios desde tu SaaS?
Aunque entendamos la cobertura del GDPR, es importante tener claro que los usuarios de tu servicio SaaS pueden dar servicio a otros usuarios y por tanto deberías tener claro cómo explicarles a ellos las condiciones del servicio. Supongamos una empresa como TypeForm que hace formularios.
Esos formularios son usados por usuarios de sus clientes. Por tanto, hay una tercera derivada. Pasa lo mismo en muchos casos como empresas de marketing que hacen campañas para clientes pero que son clientes finales quienes dejan sus datos en formularios o newsletters.
Pues bien, el GDPR no impone a los encargados de tratamiento (empresa Saas) la obligación de asegurar que el responsable (cliente) haya recabado los datos de usuarios en cumplimiento del GDPR.
No obstante, en el caso de que usuarios del cliente utilicen nuestro SaaS directamente, siempre es recomendable que acepten “de nuevo” la Política de Privacidad disponible en la plataforma/herramienta/web Saas.
Con la aplicación del RGPD a partir del 25 de mayo de este año, todas las empresas van a tener que prestar mucha más atención a la protección de datos pues la nueva normativa impone grandes cambios y las sanciones rozan lo escandaloso (hasta 20 millones de euros o el 4% de la facturación anual).