Saltar al contenido principal
Sobre Nosotros

29. March 2018

8 pasos (fáciles) para estar listo para RGPD si usted es dueño de un sitio web

 

 

Descargo de responsabilidad: ¡Tenga en cuenta que no somos un bufete de abogados y esto no es un consejo legal! La información en esta entrada del blog se proporciona únicamente con fines informativos generales, y puede no reflejar sus necesidades legales/RGPD.

Para asegurarse de que usted (y/o su negocio) cumplen con los requisitos de RGPD, le recomendamos encarecidamente que consulte a un abogado.

El Reglamento General de Protección de Datos (RGPD) es el cambio más importante en la regulación de la protección de datos en 20 años. Para que sea más breve (y más fácil de entender): el RGPD sustituye a la Directiva 95/46/CE sobre protección de datos y está diseñado para armonizar las leyes de protección de datos en toda Europa, proteger y potenciar la privacidad de datos de todos los ciudadanos de la UE y remodelar la forma en que las organizaciones de toda la región abordan la privacidad de datos.

Fecha de aplicación: 25 de mayo de 2018, momento en el que las organizaciones que incumplan la normativa pueden ser objeto de fuertes multas.

Como persona: sus datos personales serán más fáciles de gestionar. Como propietario de una empresa, administrador de un sitio web u organización que ofrezca bienes o servicios a (o controle el comportamiento de) los sujetos de datos de la UE, usted tendrá que cumplirla. Por lo tanto, si usted tiene clientes de la UE o datos de cualquier persona que resida en la Unión Europea, tiene que respetar el RGPD sin importar dónde se encuentre realmente. Si no es así, se le puede imponer una multa de hasta el 4% del volumen de negocios global anual por superar los 20 millones de euros.

¿Qué son los datos personales?

  • Nombre
  • Dirección
  • Correo electrónico
  • Números de teléfono
  • Localización
  • Identificador en línea
  • Información sobre la salud
  • Ingresos
  • Perfil cultural
  • y más

¿Qué significa el incumplimiento?

Digamos que usted tiene algunos datos personales de sus clientes, clientes potenciales o alguien que se tropezó con su organización en algún momento. Los datos personales implican cualquier información relacionada con una persona física, que puede ser utilizada para identificar directa o indirectamente a la persona. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o la dirección IP de una computadora.

Además, si usted tiene este tipo de datos, tiene que asegurarse de que tiene el consentimiento de todos y un proceso fácil para retirar el consentimiento, ya que este es el núcleo del concepto de privacidad por diseño. Ser compatible con RGPD implica un conjunto de medidas para evitar cualquier violación de datos y, en caso de una violación de seguridad, requiere que usted envíe una notificación a todos los involucrados dentro de las 72 horas de haber tenido conocimiento de la violación.

¿Qué debería hacer ahora, para ser más preciso?

Básicamente, si tiene alguna herramienta de análisis, una lista de correos electrónicos para enviar boletines y todo lo que le ayude a recopilar datos, tiene que cumplir con el RGPD y hacer todo lo más transparente posible.

Esto es con lo que puedes empezar:

  1. Firmar un DPA (Acuerdo de Procesador de Datos) con todas sus aplicaciones de terceros (Visitor Analytics o cualquier otra herramienta de análisis, servicio al cliente de correo electrónico, etc.). Para firmar un DPA sólo tienes que revisar tus avisos de todas tus aplicaciones de terceros (en caso de que ya lo hayas recibido) o pedirles que te envíen una.
  2. Haga una sección clara de Términos y Condiciones donde especificará los datos que recopilará y su propósito.
  3. Mencione todas las cookies usadas y detalles sobre ellas (nombre, duración de vida, necesidad de las mismas)
  4. Proporcionar el derecho de acceso: por ejemplo, si alguien de sus listas/bases de datos desea obtener de usted la confirmación de si se están procesando o no los datos personales que le conciernen, dónde y con qué fin, usted tiene que responder y deberá proporcionar una copia de los datos personales, sin cargo alguno, en formato electrónico.
  5. Ofrecer el derecho a ser olvidado también conocido como Data Erasure. Se puede pedir en cualquier momento que se borren sus datos personales. Por lo tanto, tenga cuidado con ésta, ya que las condiciones para la cancelación, como se indica en el artículo 17, incluyen que los datos ya no son relevantes para los fines originales del tratamiento, o que el interesado retira su consentimiento.
  6. Cree un conjunto de medidas para evitar cualquier violación de datos y, en caso de una violación de seguridad, debe notificar a todas las personas implicadas en un plazo de 72 horas a partir de la primera vez que tenga conocimiento de la violación.
  7. Ofrecer el derecho de Portabilidad de Datos. Esto significa que alguien puede solicitar los datos personales que le conciernen, que ha facilitado previamente en un "formato de uso común y legible por máquina" y tiene derecho a transmitirlos a otro responsable del tratamiento. En poco tiempo, todo el mundo puede exportar sus datos desde un controlador y enviarlos a otro.
  8. ¡Sea más organizado con los datos! También hay un cambio clave en la legislación en materia de privacidad por diseño. Para facilitar su comprensión, el artículo 23 exige que los responsables del tratamiento sólo conserven y traten los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de los datos), y que limiten el acceso a los datos personales a las personas que deban llevar a cabo el tratamiento.

Hay mucha más información sobre este tema, pero aquí está la estructura y los capítulos de la RGPD, para que pueda entender fácilmente de qué se trata este gran cambio en la protección de datos:

  • Capítulo 1: Disposiciones generales (objetivos y definiciones de la RPI)
  • Capítulo 2: Principios (todo lo relacionado con el tratamiento de datos personales y las condiciones de consentimiento)
  • Capítulo 3: Derechos del interesado (este capítulo se centra en la transparencia, el acceso a los datos, la supresión, la toma de decisiones y las restricciones)
  • Capítulo 4: Controlador y Procesador (obligación general tanto de los controladores como de los procesadores, seguridad de los datos personales, información sobre los responsables de la protección de datos y códigos de conducta)
  • Capítulo 5: Transferencia de datos personales a terceros países u organizaciones internacionales (bueno, no hace falta explicarlo)
  • Capítulo 6: Autoridades de Supervisión Independientes (condiciones generales en cuanto a la independencia, competencia, tareas y poderes dentro de una organización)
  • Capítulo 7: Cooperación y Consistencia (este es bastante complejo y explica muchas preocupaciones de cooperación, mecanismos de consistencia, procedimientos, confidencialidad y muchas cosas de la Junta Europea de Protección de Datos)
  • Capítulo 8: Remedios, responsabilidad y sanciones (un capítulo importante, si quieres saber qué son las sanciones y cómo asegurarte de que no las tendrás)
  • Capítulo 9: Disposiciones relativas a situaciones concretas de tratamiento de datos
  • Capítulo 10: Actos delegados y actos de aplicación
  • Capítulo 11: Disposiciones finales

Nosotros, en Visitor Analytics, estamos trabajando duro para asegurarnos de que seguiremos proporcionando todas las características para nuestros clientes mientras cumplimos con el RGPD!

En el próximo artículo, le diremos cómo adaptaremos nuestros servicios para respetar todas las expectativas de la RPI y cómo podemos ayudarle, como propietario de un sitio web que utiliza nuestra aplicación, a cumplir con ella sin esfuerzo. Sabemos que todos estos pasos de cumplimiento pueden parecer complicados, pero si acaba de comenzar su viaje para un sitio web que cumpla al 100% con la normativa de la RPI, aquí tiene la lista de verificación más completa de la RPI para empezar.

PD: Si has conseguido llegar al final del artículo, aquí tienes una bonita infografía sobre la RPI creada por el increíble equipo de la UE: http://ec.europa.eu/justice/smedataprotect/index_en.htm