El nuevo reglamento europeo sobre la protección de los datos personales (RGPD) entrará en vigor el 25 de mayo de 2018. Esta regulación afecta a la gestión de los sitios web para las empresas que utilizan datos de usuarios. ¿Cuáles son las obligaciones de las empresas? ¿Cuáles son las consecuencias para tu sitio web?

Privacidad y uso de datos personales

El reglamento europeo de protección de datos tiene tres propósitos:

  • Dar a los ciudadanos el control de sus datos personales (protección de la privacidad, derecho al olvido, …)
  • Alentar a las empresas a ser responsables de respetar la privacidad
  • Armonizar la regulación europea y hacer que la acción de las autoridades de supervisión sea más coherente.

El texto del reglamento establece fuertes sanciones administrativas para las empresas que no cumplan con el GDPR. Las multas pueden alcanzar los 20 millones de euros el 4% de la facturación anual, siendo la mayor cantidad retenida.

El RGPD será de obligado cumplimiento para todas las empresas que recopilan y procesan datos personales. Por lo tanto, todos los comercios electrónicos y las empresas que usan un sitio web para buscar y generar oportunidades de venta se ven afectados.

Las obligaciones de las empresas

Crear y actualizar un registro de actividades de procesamiento de datos

Se trata de utilizar una controlar la protección de datos a través de una herramienta especializada diseñada para:

  • Conocer mejor, gestionar y dirigir la estrategia de protección de datos
  • Facilitar la gestión de las solicitudes de los usuarios (consentimiento, consulta, modificación, eliminación de datos)
  • Especificar las medidas de seguridad adoptadas en caso de violación de datos o piratería.
  • Notificar en caso de violaciones de seguridad de los datos a la Agencia Española de Protección de Datos (AEPD) dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

Protección de Datos desde el Diseño

El principio de «Protección de Datos desde el Diseño» requiere tomar las medidas de protección de datos apropiadas en la implementación de nuevos proyectos y garantizar que los productos / servicios propuestos cumplan con los principios y obligaciones en el RGPD.

Obtener el consentimiento del usuario y conservar evidencia de consentimiento

El RGPD quiere traer más transparencia y por esta razón, las empresas deben obligatoriamente solicitar a los usuarios sus permisos para procesar sus datos personales.

Los usuarios son los dueños de sus datos y tienen derecho a conocer el propósito del procesamiento de los mismos.

Tan pronto como la empresa inicie un procesamiento de los datos personales del usuario, debe obtener el consentimiento del usuario de manera justa y explícita (de forma voluntaria).

Prioridades en el sitio web

Solicitar consentimiento

Se requiere la obtención del consentimiento del usuario para recopilar y procesar datos personales.

Los datos en cuestión son:

  • Nombre y apellidos
  • Dirección de correo electrónico
  • Número de teléfono
  • Dirección postal
  • Dirección IP / datos GPS (datos de ubicación)
  • Cookies
  • Datos confidenciales: información relacionada con la identidad física, psicológica, genética o económica

La solicitud de consentimiento debe ser válida para todos los servicios de su sitio web que recopile y procese datos tales como Google Analytics, Adsense, Adwords, Facebook, Twitter, AddThis, …

Modalidad de la solicitud de consentimiento

La solicitud de consentimiento puede ser global o segmentada.

Una página de solicitud de consentimiento global se utiliza para agrupar cookies y recopilación de datos. Esta solución parece ser la más simple para obtener el consentimiento en una única validación.

Sin embargo, este método representa un riesgo debido a la acumulación de solicitudes que puede afectar a la legibilidad de la información. Esto puede crear confusión para el usuario y conducir a su negativa.

Las solicitudes de consentimiento de bloque de segmentación para cada servicio son una alternativa a la solicitud de consentimiento general.

En todos los casos, el consentimiento se debe obtener a través de formularios claros y explícitos, con botones de acción inequívocos («Aceptar» y «Rechazar»).

Para evitar solicitudes de consentimiento innecesarias, recopile solo aquellos datos cuyo procesamiento sea de interés estratégico para su negocio.

Prueba y duración del consentimiento

El RGPD establece que es obligatorio conservar la prueba del consentimiento, pero no indica la forma en que debe conservarse. Además, especifica que la duración del consentimiento no tiene límite de validez, siempre que el usuario no haya realizado una solicitud de cambios de sus datos personales.

Se debe realizar una nueva solicitud de consentimiento para cada nuevo servicio agregado al sitio.

Si se ha optado por la solicitud de consentimiento de bloque, el riesgo es que el usuario cancele el consentimiento obtenido previamente para los otros servicios.

Formularios

En cada formulario se debe indicar la duración de la retención de datos y los fines del procesamiento de datos.

Esta información puede aparecer en el nivel de la información legal, en una sección dedicada al formulario, pero debe ser fácilmente accesible desde los formularios.

Facilitar el acceso a la información sobre la recopilación y el procesamiento de datos personales demostrará la transparencia. Además, se debe indicar el período de retención de los datos recopilados.

Es suficiente con la existencia de una sección para todos los formularios a menos que uno de los formularios implique otro propósito de procesamiento de datos o un período de retención de datos diferente.

Para las direcciones de correo electrónico recopiladas a través del campo de registro del boletín informativo, no existe un límite de período de retención siempre que el usuario no solicite la eliminación o la cancelación de la suscripción.

Plugins, extensiones CMS y otros servicios

Los plugins instalados en el sitio de WordPress que no cumplen con los estándares del RGPD no deben utilizarse hasta que se hayan actualizado. Lo mismo ocurre con los servicios nativos de WordPress, como la inserción de una Twitter card.

La pregunta también surge a la hora de insertar vídeos de Youtube o Google Maps porque sus servicios recopilan datos gracias al código insertado, sin consentimiento previo.

 

En DCD te aconsejamos no esperar a la fecha límite y pensar la mejor manera de integrar este nuevo reglamento en el sitio web. Ponte en contacto con nosotros y te asesoraremos.

Rate this post