Cómo hacer que su sitio web sea compatible con GDPR

Muchos de nuestros usuarios nos han estado preguntando sobre GDPR: ¿qué significa? ¿A quién y a qué se aplica? ¿Cómo me afecta como negocio? Sabemos que si bien mucha información circula por la red, parte de esta información puede estar incompleta, ser incorrecta o engañosa.

Es por eso que contactamos con uno de los principales bufetes de abogados británicos, Fladgate, una firma que se especializa en propiedad intelectual. Tuvieron la amabilidad de ofrecer respuestas completas y profesionales sobre el tema, incluidas en este post.

A continuación, encontrará pautas legibles y fáciles de entender para GDPR, en lo que respecta a temas relevantes para los creadores de sitios de Elementor. Está redactado por escrito legal, por lo que es un poco diferente de la jerga de nuestro blog habitual, pero creemos que es la mejor (y única) forma de entender claramente las reglas del RGPD. Nos gustaría agradecer a Eddie Powell de Fladgate, por redactar y aclarar estas pautas detalladas y completas para nuestra comunidad.

Las preguntas respondidas en esta publicación incluyen:

¿Qué es el RGPD y por qué es importante?

¿Cuáles son las reglas básicas de GDPR?

¿Qué datos personales puedo utilizar y cómo se pueden utilizar?

¿Puedo transferir datos personales a un tercero?

¿Qué derechos tienen las personas frente a las empresas?

¿Cómo debo, como propietario de una empresa, proteger los datos personales en mi sitio web?

El RGPD significa Reglamento general de protección de datos. Es el nuevo conjunto de normas formulado por la UE que rige la forma en que las empresas conservan y utilizan los datos personales de las personas.

La mayoría de la gente ha oído hablar de las multas que se pueden imponer a las empresas que infringen las reglas. Estos pueden ascender a 20 millones de euros o para grupos de empresas particularmente grandes el 4% de la facturación global del grupo, lo que podría suponer una enorme cantidad de dinero.

Sin embargo, lo que es más importante, la publicidad asociada con el incumplimiento de las normas de protección de datos puede dañar significativamente la reputación de una empresa y hacer que los clientes y proveedores no confíen en ella. Además, los nuevos negocios se verán afectados si los clientes no confían en la empresa con la información y si mantendrán un alto nivel de privacidad. Los clientes quieren sentirse en control de su información personal.

Las reglas se aplican a los "datos personales". Los datos personales incluyen datos obvios, como nombres de personas, direcciones y detalles de contacto, etc. También incluirá una lista de direcciones de correo electrónico donde puede identificar a la persona a partir de su dirección (por ejemplo, [email protected] : puede decir que Bob Smith trabaja en Universal Widgets) y direcciones IP. La información dejará de ser datos personales si la anonimiza para que nunca pueda averiguar quién es un individuo del conjunto de información.

GDPR dice que no puede simplemente recopilar, almacenar, usar y transferir estos datos personales (todos estos se denominan "procesamiento") simplemente porque están almacenados en el sistema de su empresa. Debes pensar en lo que quieres hacer y aplicar las reglas.

Debe tener uno de los 6 motivos que especifica el GDPR. Las claves para nuestros propósitos son:

• ejecutar un contrato con el individuo o usar la información para poner en práctica un contrato;
• cumplir con una obligación legal (no un contrato con otra empresa) a la que está sujeta la empresa, como el cumplimiento de las normas contra el blanqueo de capitales o la prevención de delitos;
• donde el individuo ha dado su consentimiento (que debe ser específico, informado e inequívoco) a lo que quiere hacer con su información; y
• donde el tratamiento que desea realizar es necesario para el interés legítimo de la empresa, pero equilibrado con los derechos e intereses de la persona en cuestión, que estará interesada en su privacidad.

Existen reglas especiales cuando se trata de niños en los que debe verificar su consentimiento con sus padres. También existen reglas especiales para tratar la información sobre las condenas penales de las personas y para lo que la ley llama "categorías especiales" que incluyen información sobre:

• Salud
• Etnicidad
• Orientación sexual
• Creencias políticas
• Religión
• Afiliación sindical
• Datos genéticos y biométricos.

También vale la pena recordar que existen reglas especiales (que no forman parte del GDPR) para el marketing por correo electrónico y SMS; no asuma que debido a que tiene la dirección de correo electrónico o los datos de contacto de alguien, puede enviarle comunicaciones de marketing a través de estos canales. Debe haberles dado la posibilidad de optar por no recibir estas comunicaciones cuando recopiló la información, y siempre debe incluir la posibilidad de que deseen darse de baja de futuras comunicaciones de marketing.

Si desea utilizar datos personales para algo, como una nueva implementación de software, un nuevo proyecto de base de datos o para brindar un servicio más personalizado a los clientes, es realmente importante no solo asumir que está bien tomar datos personales existentes que puedan ser en los sistemas de la empresa y utilícelo. Debe pensar en las bases que se han discutido anteriormente y, en particular, pensar si puede haber algún dato de categoría especial que pueda incluirse, porque las reglas sobre estos son mucho más estrictas.

Si recopila más información para el propósito indicado, asegúrese de recopilar solo lo que realmente necesita. No pida a las personas que proporcionen más de lo necesario para lograr el propósito que se les ha indicado.

El individuo necesita que se le informe en términos muy claros sobre lo que está sucediendo con su información personal. Esto incluye:

• datos de su empresa y datos de contacto;
• cuál es el propósito del procesamiento de datos;
• a quién le va a enviar los datos;
• si tiene la intención de exportar los datos a otro país;
• cuánto tiempo conservará los datos; y
• información sobre los derechos para retirar el consentimiento y otros derechos derivados del RGPD.

Esta información debe proporcionarse en virtud del RGPD cuando se recopila la información o (si la información se recibe indirectamente) dentro de un mes de recibida. Su empresa debe tener formularios estándar que le permitan proporcionar esta información; siempre deben usarse cuando se recopilen nuevos datos personales.

Una vez que haya cumplido con lo anterior, ejecute su proyecto planificado, pero cúmplalo y asegúrate de eliminar cualquier dato personal que no sea necesario o que no pueda guardarse legítimamente. Recuerde que si cambia sus planes o decide hacer otra cosa con los datos personales, debe volver a revisar los pasos y rehacer el ejercicio.

Tenga especial cuidado con el uso de datos personales que se recopilaron para su negocio y ahora desea pasarlos a un tercero.

Debe pensar en los pasos básicos de cumplimiento anteriores y asegurarse de que ha cumplido con los fundamentos legales para el procesamiento y que se le ha brindado a la persona toda la información necesaria al respecto.

Si el destinatario está realizando un trabajo para usted (como un proveedor de servicios de nómina) según sus instrucciones, entonces será su "procesador" y debe tener un contrato escrito con él que incluya ciertas garantías sobre seguridad y cumplimiento.

Es muy poco probable que pueda recibir o transferir “categorías especiales” de datos, y si esto fuera necesario, debe asegurarse de consultar con el equipo de cumplimiento de su empresa.

También existen reglas especiales si desea trasladar información a un país que está fuera de la UE, donde las leyes sobre protección de datos personales pueden no ser tan estrictas. Es posible que deba utilizar formularios estándar de contratos con la empresa u organización que va a recibir los datos personales o hacer otros arreglos que garanticen que se respeten los derechos de la persona.

El GDPR otorga a las personas una serie de derechos contra las empresas que poseen sus datos personales. Éstos incluyen

• Rectificación : cualquier error o inexactitud debe corregirse;
• Acceso : se debe proporcionar una copia de los datos y los detalles de para qué se utilizan;
• Cese del procesamiento : detener todo uso de los datos personales de alguien
• Borrado (el derecho al olvido) : borrado de todos los registros sobre la persona
• Portabilidad : transferencia de datos personales mantenidos en un formato legible por máquina al individuo oa otro proveedor.

El RGPD no especifica niveles de seguridad; simplemente dice que las empresas deben tener un nivel adecuado de seguridad tecnológica y organizativa, por lo que su empresa contará con procedimientos de seguridad diseñados para ayudarlo a cumplir con este requisito. Obedézcalos siempre.

Recuerde que no son solo los ataques cibernéticos a gran escala los que pueden constituir una violación de la seguridad de los datos personales. A menudo son las pequeñas cosas las que causan los mayores problemas, como los datos personales almacenados en dispositivos móviles que se pierden o las computadoras portátiles sin cifrar que se dejan en áreas públicas. Una de las principales causas de la pérdida de datos personales es que los correos electrónicos se descarrían debido a que el autocompletado ingresa la dirección de correo electrónico incorrecta.

El RGPD impone a las empresas el deber de notificar a las autoridades sobre cualquier infracción de seguridad, y su empresa tendrá la obligación de mantener un registro de cualquier infracción, sin importar cuán pequeña sea, para que la dirección pueda tomar una decisión sobre lo que debe notificarse. . Asegúrese de que cualquier pérdida que involucre datos personales, incluso si se corrige rápidamente o si es poco probable que cause algún daño, se informe de acuerdo con la política de su empresa.

Eddie Powell es socio del equipo de deportes comerciales y propiedad intelectual de Fladgate LLP solicitors en Londres. Para obtener más información, consulte https://www.fladgate.com/lawyer/eddie-powell/

¿Qué pasos ha tomado para que su sitio cumpla con el RGPD? Háganos saber en los comentarios a continuación.