¿Cómo afectará el GDPR al diseño web?  

gdpr
Compartir:

¿Qué es el GDPR?

El GDPR (Reglamento de Protección de Datos Generales) es una política que se aplica a todas las empresas que procesan datos personales. El GDPR entrará en vigor el próximo 25 de mayo de 2018 en toda la UE, incluido el Reino Unido (independientemente de su estado de Brexit en ese momento). Las regulaciones del GDPR reemplazarán a las existentes que dictan cómo las compañías pueden recolectar, almacenar y usar la información personal de sus clientes. Las nuevas regulaciones están diseñadas para devolver el control de la información personal a las personas, priorizándolas por encima de los intereses de las empresas. Por lo tanto, es importante que las empresas que damos servicios de soluciones digitales y nuestros clientes estemos al tanto de esta nueva legislación y nos adhiramos a ella en consecuencia.

¿Cuáles son las estipulaciones del GPDR?

Algunos de los cambios que ocurrirán con la nueva regulación son:

  • El derecho al acceso de los datos: las personas deben poder acceder, corregir, eliminar o transferir cualquier información personal que se tenga sobre ellos en cualquier sistema de la compañía.
  • El derecho de consentimiento: Las empresas necesitan obtener el consentimiento explícito de los ciudadanos para que sus datos personales puedan almacenarse y utilizarse. La empresa debe guardar este consentimiento.
  • La obligación legal de las empresas de informar a las autoridades de datos y consumidores sobre las violaciones en la seguridad de los datos, dentro de las 72 horas posteriores a su ocurrencia.

¿Quién debe cumplir con GDPR?

En pocas palabras, cualquier compañía que opere dentro de la UE que maneje y almacene información personal. Las empresas no pertenecientes a la UE que estén procesando datos de personas que residen en la UE necesitarán designar a un representante de la UE que supervisará el comportamiento dentro ésta. La GDPR no discrimina entre gigantes comerciales y pequeñas empresas. Además, las sanciones por no cumplir con la regulación serán muy severas. La violación de los términos del GDPR puede resultar en una penalización del 4% del volumen de negocios anual de tu empresa o una multa de 20 millones de euros (dependiendo de cuál sea el más alto).

¿Cómo afectará GDPR al diseño web y a los propietarios de sitios web?

Para evitar estas sanciones, los propietarios de sitios web deberán asegurarse de que:

Se requiere el consentimiento explícito de cualquier usuario antes de que se realice la recolección de datos: el consentimiento debe darse libremente, ser específico y no ser ambiguo.

Proporcione una política de privacidad clara y accesible: la política de privacidad deberá informar a los usuarios de cómo se almacenarán los datos y para qué se usarán.

Tener un medio para que los usuarios soliciten ver sus datos: estas solicitudes deben ser otorgadas.

Derecho al olvido: debes proporcionar a los usuarios una forma de retirar el consentimiento y eliminar los datos personales que hayas recopilado sobre ellos.

Pasos a seguir para garantizar que su sitio web cumpla con el GDPR.

Llevar a cabo una auditoría de datos personales

Hazte las siguientes preguntas sobre los datos recopilados en tu sitio web:

¿Qué datos estoy recopilando?

Esto incluye los datos recopilados y almacenados a través de tu propio sitio web o los datos recopilados por un tercero.

  • ¿Tienes un formulario de contacto que recopila direcciones de correo electrónico, números de teléfono, nombres, etc.?
  • ¿Recolectas datos personales en un servicio de email marketing de terceros, es decir, Mailerlite, MailChimp, etc.?
  • ¿Tienes una tienda online y recopilas datos de clientes para procesar pedidos?
¿Dónde están almacenados?

Si tu sitio web tiene una plataforma e-commerce, es probable que la información personal del cliente se almacene en la base de datos de tu sitio web. Estas bases de datos a menudo se almacenan sin cifrar, por lo que si se infringe la base de datos, se puede exponer y recopilar información personal sobre sus clientes.

¿Son necesarios todos estos datos?

Si limitas la cantidad de datos que recopilas, también limitas tu potencial de incumplimiento del GDPR. Si consideras que parte de la información que actualmente recopilas y almacenas en tu sitio web no es estrictamente necesaria, puedes tomar medidas para dejar de recopilarla y eliminarla de tus bases de datos.

Política de privacidad

Tu sitio web necesitará una página de política de privacidad, de fácil acceso, que informe a los usuarios de cómo se almacenarán y usarán los datos que estás recopilando. También deberás informar a los clientes cómo pueden solicitar acceso a sus datos y los pasos a seguir para retirar el consentimiento para que sus datos sean almacenados y utilizados.

Implementar la certificación SSL

Los sitios web que usan HTTPS envían datos a través de una conexión cifrada. Si tu sitio web tiene un certificado SSL, estás dando pasos hacia el cumplimiento del GDPR. Sin HTTPS, los datos de un formulario de contacto (por ejemplo) se enviarán sin cifrar y, por lo tanto, pueden ser interceptados por un tercero.

¿Qué hacer en caso de una violación de datos?

El GDPR requiere que el oficial de datos tenga procesos definidos en el caso de que ocurra una violación de datos. El controlador de datos tiene la obligación legal de informar de una violación dentro de las primeras 72 horas.

Niños

El GDPR, por primera vez, ofrece protecciones especiales para los datos personales de los niños, especialmente en lo que respecta a los servicios comerciales de Internet, como las redes sociales. Si tu organización ofrece servicios en línea a niños y depende del consentimiento para recopilar información sobre ellos, deberás obtener el consentimiento del padre, madre o tutor para procesar legalmente los datos del niño. El GDPR establece que la edad a la que un niño puede dar su consentimiento es a los 16 años. Esto significa que tu página de información de privacidad debe escribirse con suficiente claridad para que el niño la entienda.

Oficial de protección de datos (DPO)

Siempre que sea posible, debes designar a alguien en tu empresa para que asuma la responsabilidad del cumplimiento de la protección de datos.

Tendrás que designar un DPO si eres:

  • Una autoridad pública (a excepción de los tribunales que actúan dentro de su capacidad judicial).
  • Una organización que realiza un monitoreo regular y sistemático de individuos a gran escala.
  • Una organización que lleva a cabo el procesamiento a gran escala de categorías de datos especiales, incluidos registros de salud, o información sobre condenas penales.

¿Cómo afectará el GDPR a las suscripciones por correo electrónico y a las newsletters?

El GDPR requerirá un consentimiento comprobable para que alguien esté en una lista de correo. Para los nuevos suscriptores de tu lista, obtener el consentimiento será más fácil, pero ¿qué pasa con los clientes existentes? El consentimiento original podría haberse perdido.

Clientes actuales: demuestra la «relación de cliente existente»

Suscriptores de correo electrónico con consentimiento demostrable: conserva y mantén registros que demuestren su consentimiento.

Destinatarios de correo electrónico sin consentimiento comprobable: si el programa de correo electrónico puede considerarse un servicio, el acto de abrir y hacer clic (es decir, el correo electrónico del destinatario en curso) podría ser suficiente para mostrar una «relación de cliente existente» con tu programa de correo electrónico. En este caso, deberás ser capaz de demostrar las formas en que tu programa de correo electrónico proporciona un servicio valioso para tus clientes. Esto tendrá en cuenta el valor y el uso de tus correos electrónicos, y el daño financiero o perjuicios que puedan sufrir tus clientes si los correos electrónicos se detienen.

Clientes perdidos: sin participación del cliente o actividad constante de correo electrónico no tienes base legal para almacenar los datos: elimina elementos innecesarios.

Suscriptores de correo electrónico inactivos: del mismo modo que con los «clientes perdidos» no tienes base legal para almacenar los datos al no haber un consetimiento reciente, relación con el cliente o actividad continua de correo electrónico.

Sistemas de correo electrónico de terceros

Los sistemas de correo electrónico de terceros se incluyen en la definición de «procesadores de datos», ya que almacenan y procesan datos personales en tu nombre con el fin de enviar correos electrónicos. Es importante verificar las políticas de privacidad de cualquier sistema de correo electrónico de terceros que utilices para asegurarte de que cumplen el GDPR. La mayoría de los principales sistemas de correo electrónico de terceros se basan en los EE. UU, por lo que es probable que ya cumplan el GDPR, o que estén en vías de hacerlo. Las empresas estadounidenses requieren el cumplimiento del Escudo de privacidad, que ha sido desarrollado por el Departamento de Comercio de EE. UU y la Comisión Europea para proteger el flujo de información personal entre la UE y los EE. UU.

Déjate asesorar

El GDPR es una revisión drástica de la actual regulación de privacidad y datos de la UE; así que, naturalmente, todo el proceso puede parecer un poco desalentador. Para evitar incumplir el reglamento y  las grandes sanciones que conlleva, contacta con nosotros, desde Xperenti te daremos una solución integral a tu necesidad.

 

Contáctanos

 

Fuente: Sites For Business

Compartir:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies