Más información sobre la GDPR y el Cumplimiento de un Sitio Web


¿Quél es GDPR?

¿Qué significa GDPR?


GDPR (Reglamento General de Protección de Datos) es el cambio más significativo en protección de datos de las últimas décadas. La regulación exige a las empresas proteger los datos personales y la privacidad de los ciudadanos de la UE. Introduce multas muy severas en caso de incumplimiento y violaciones, y da a las personas un mayor poder sobre lo que las empresas pueden hacer con sus datos. Cualquier empresa que hace negocios en Europa tiene que cumplir con la GDPR.

¿Por qué GDPR?


El objetivo general de la GDPR es dar a los ciudadanos el control de sus datos personales y simplificar los entornos regulatorios para los negocios internacionales mediante la unificación de regulaciones de privacidad y datos. El GDPR es un reglamento y sustituye a una Directiva (la Directiva de protección de datos). Al ser una regulación, la GDPR ayuda a unificar los datos y la regulación de la privacidad en la UE para reducir la administración y las incoherencias entre las leyes locales. Con las directivas, a diferencia de con los reglamentos, cada estado miembro tiene discreción en cuanto a la implementación de la regulación de protección de datos y por lo tanto puede variar de un país a otro.

¿A quién afecta la GDPR?


Mientras que la regulación se origina en la UE, también se aplica a las empresas de fuera de la UE que ofrecen bienes y servicios (pagados o gratuitos) o que monitorean el comportamiento de los individuos en la UE. Bajo la anterior Directiva de protección de datos, una empresa estaba sujeta a la ley de protección de datos sólo si se encontraba en un país de la UE o usaba equipamiento ubicaco en un país de la UE para procesar los datos. Sin embargo, el nuevo reglamento también se aplica a cualquier empresa que ofrece productos o servicios a individuos de la UE o monitorean el comportamiento de estos individuos. Se trata de una amplia expansión de los requisitos que afectarán a muchas más organizaciones en todo el mundo.

¿Cuáles son las sanciones?


Las sanciones de la GDPR pueden llegar a un máximo de 20 millones de euros o el 4 por ciento de los ingresos anuales (lo que sea mayor) de la organización, en función de los hechos y circunstancias del caso. Además, por primera vez, también se permite una demanda colectiva, lo que resulta en la exposición tanto a la aplicación reglamentaria como a litigios privados para la misma transgresión.

Qué son los datos personales?


Los datos personales son cualquier información que se refiere a un individuo vivo identificado o identificable. Diferentes piezas de información, que recogidas juntas pueden conducir a la identificación de una persona en particular, también constituyen datos personales. Los datos personales a los que se ha aplicado el anonimato, cifrado o seudonimizado, pero se puede utilizar para volver a identificar a una persona, siguen siendo datos personales y están dentro del ámbito de la ley. Los datos personales que se ha convertido en anónimos, de tal manera que el individuo no es o ya no es identificable, ya no se consideran datos personales. Para que los datos sean verdaderamente anónimos, la anonimización debe ser irreversible. Ejemplos de datos personales incluyen el nombre, apellido, dirección de correo electrónico como [email protected]ñía.com, una dirección, número de tarjeta de identificación, ID de cookie, Protocolo de Internet (IP). Ejemplos de datos que no se consideran datos personales incluyen un número de registro de la empresa, una dirección de correo electrónico como [email protected]ñía.com y datos anónimos.

La transferencia de datos fuera de la UE


Los datos personales pueden fluir desde el Espacio Económico Europeo (EEE), que incluye a todos los países de la UE y a los países no comunitarios Islandia, Liechtenstein y Noruega, a países de terceros sin ninguna protección adicional, cuando la Comisión Europea ha reconocido que el país tiene una protección adecuada. Países reconocidos por tener una protección adecuada son Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Suiza, Uruguay y los EE.UU. (limitado al marco Privacy Shield) como que están proporcionando una protección adecuada. Las conversaciones están en curso con Japón y Corea del Sur.

¿Quién hace cumplir la GDPR?


La aplicación de la GDPR se realiza a través de las autoridades de protección de datos (DPA), que proporcionan asesoramiento de expertos en cuestiones de protección de datos y de gestión de quejas en torno a violaciones de la GDPR. Hay uno en cada Estado miembro de la UE. El principal punto de contacto para cuestiones relativas a la protección de datos es la DPA en el Estado miembro de la UE en el tiene su sede su empresa / organización. Sin embargo, si su empresa / organización procesa los datos en distintos Estados miembros de la UE o es parte de un grupo de empresas establecidas en diferentes Estados miembros de la UE, ese punto de contacto principal puede ser un DPA en otro Estado miembro de la UE.

¿Necesitamos un Delagado de Protección de Datos?


Su empresa / organización tiene que designar un DPO, ya sea un controlador o un procesador, si sus actividades básicas implican el tratamiento de datos sensibles a gran escala o involucran a gran escala, seguimiento periódico y sistemático de los individuos. A este respecto, el seguimiento del comportamiento de los titulares de los datos incluye todas las formas de seguimiento y elaboración de perfiles en la red, incluyendo los efectos de publicidad comportamental. El DPO puede ser un miembro del personal de su organización o puede ser contratado externamente sobre la base de un contacto de servicio. El DPO puede ser un individuo o una organización. Cabe mencionar que el GDPR está fundamentado en un enfoque basado en el riesgo y se anima a las organizaciones a implementar las medidas de protección que correspondan según el nivel de riesgo de las actividades de procesamiento de datos que realizan.

¿La GDPR afecta a empresas Pequeñas y Medianas?


Sí, la aplicación de la normativa de protección de datos no depende del tamaño de su empresa / organización, sino de la naturaleza de sus actividades. Actividades que presentan un alto riesgo para los derechos y las libertades de los individuos, ya sean llevadas a cabo por una PYME o por una gran corporación, implican la aplicación de normas más estrictas. Sin embargo, algunas de las obligaciones de la GDPR pueden no ser aplicables a todas las PYME. Por ejemplo, las empresas con menos de 250 empleados no tienen que llevar registros de sus actividades de procesamiento a menos que el procesamiento de datos personales sea una actividad regular, represente una amenaza a los derechos y libertades de las personas, o maneje datos sensibles o sobre antecedentes penales. Del mismo modo, las PYME sólo tiene que designar a un Delegado de Protección de Datos si el procesamiento es su principal negocio y plantea amenazas específicas a los derechos y libertades (como el seguimiento de individuos o tratamiento de datos sensibles o antecedentes penales), en particular porque se realiza a gran escala.

Qué debemos hacer en caso de una fuga de datos?


Una violación de datos se produce cuando los datos de los que su empresa / organización es responsable han sufrido un incidente de seguridad que resulta en una violación de la confidencialidad, integridad o disponibilidad. Si eso ocurre y es probable que el incumplimiento represente un riesgo para los derechos y las libertades de un individuo, su empresa / organización tiene que notificar a la autoridad de supervisión sin demora indebida,en un período máximo de 72 horas después de haber tomado conciencia de la brecha. Si su empresa / organización es un procesador de datos debe notificar cada violación de datos al responsable del tratamiento.

¿Cómo puedo hacer que nuestra organización cumpla con la GDPR?


El Reglamento de Protección de Datos (GDPR) se fundamenta en unenfoque basado en el riesgo. A las empresas / organizaciones que traten datos personales se les anima a poner en práctica las medidas de protección correspondientes al nivel de riesgo de sus actividades de procesamiento de datos. Por lo tanto, las obligaciones de una empresa de procesamiento de una gran cantidad de datos son más pesadas que las de una empresa de procesamiento de una pequeña cantidad de datos. Por ejemplo, la probabilidad de contratar a un oficial de protección de datos para una empresa / organización que procesa una gran cantidad de datos es mayor que el de una empresa / organización que procesa una pequeña cantidad de datos. Al mismo tiempo, la naturaleza de los datos personales y el impacto del tratamiento previsto también son relevantes. El procesamiento de una pequeña cantidad de datos, pero que es de naturaleza sensible, por ejemplo, datos de salud, requiere aplicar medidas más estrictas para cumplir con la GDPR.

¿Cómo puedo hacer que un sitio web cumpla la GDPR?


El Reglamento de Protección de Datos (GDPR) se fundamenta en unenfoque basado en el riesgo. A las empresas / organizaciones que traten datos personales se les anima a poner en práctica las medidas de protección correspondientes al nivel de riesgo de sus actividades de procesamiento de datos. Por lo tanto, las obligaciones de una empresa de procesamiento de una gran cantidad de datos son más pesadas que las de una empresa de procesamiento de una pequeña cantidad de datos. Por ejemplo, la probabilidad de contratar a un oficial de protección de datos para una empresa / organización que procesa una gran cantidad de datos es mayor que el de una empresa / organización que procesa una pequeña cantidad de datos. Al mismo tiempo, la naturaleza de los datos personales y el impacto del tratamiento previsto también son relevantes. El procesamiento de una pequeña cantidad de datos, pero que es de naturaleza sensible, por ejemplo, datos de salud, requiere aplicar medidas más estrictas para cumplir con la GDPR.

¿Nuestra página web se ve afectada por la GDPR?


Si su organización / empresa interactúa o hace negocios con ciudadanos de la UE, por ejemplo vende productos / servicios o monitoriza el comportamiento individual en línea, si está sujeta a la aplicación de la GDPR. Si utiliza herramientas de terceros, por ejemplo, a través de Google o Facebook, que recogen datos de carácter personal, es necesario recoger un consentimiento válido antes colocar una cookie u otra tecnología de seguimiento en el equipo del visitante. Si tiene formularios de contacto o boletines que recogen datos de los ciudadanos de la UE. también se le aplica la GDPR, y es necesario asegurarse de que se hace un tratamiento lícito de sus datos personales.

¿Es usted consciente de los rastreadores que tiene en su sitio web?


Muchos sitios web utilizan tecnologías de seguimiento, incluyendo cookies, píxeles y etiquetas, para hacer publicidad, recopilar estadísticas y realizar campañas de marketing. Bajo la GDPR, usted es responsable de notificar y obtener el consentimiento para cada una de estas tecnologías. Asegúrese de hacer una auditoría web de su sitio web y ver qué rastreadores ha habilitado y están funcionando. Si no está seguro de los rastreadores que tiene en su sitio web, puede descubrirlo utilizando la herramienta de forma gratuita. Es gratis y le proporcionará un resultado en 5 minutos o menos.

¿Recoges el consentimiento de la manera adecuada?


Existen requisitos específicos de cómo obtener un consentimiento válido. El consentimiento debe ser informado, inequívoco, explícito, dado libremente, específico y presenta el derecho a retirarlo, escrito en un lenguaje sencillo, claramente visible. Para que el consentimiento sea informado, el individuo debe recibir al menos la siguiente información:

  • la identidad de la organización procesadora de los datos ;
  • los fines para los que están siendo procesados los datos;
  • el tipo de datos que se procesarán;
  • la posibilidad de retirar el consentimiento dado (por ejemplo, un enlace para anularlo al final de un correo electrónico)
  • si el consentimiento está relacionada con una transferencia internacional, es necesario informar sobre los posibles riesgos de las transferencias de datos a otros países.

A continuación se muestra un ejemplo de cómo se puede comunicar y recibir un consentimiento válido:

  1. El consentimiento debe ser afirmativo, específico e inequívoco.
  2. Detalles de los receptores y de los controladores de datos.
  3. Finalidad del tratamiento y notificación de perfiles.
  4. Duración.
  5. Retirar el consentimiento.
  6. Enlace para presentar una queja, corregir y trasnferir datos.
  7. Es posible retirar el consentimiento.

¿Sus banners de privacidad son afirmativos?


La frase de texto estándar que se incluye en los avisos de cookies “mediante el uso de este sitio, sus aceptar cookies” no será suficiente con la GDPR, ya que sólo se sugiere consentimiento implícito, es ambigua y genérica. Ahora necesitará tener niveles granulares de consentimiento distintos para el seguimiento y cookies de análisis, así como los mecanismos para señalar el consentimiento del cliente. Deben llevar a cabo una acción afirmativa.

¿Usted ha hecho que sea fácil de retirar su consentimiento?


Retirar el consentimiento debería ser tan fácil como darlo. Si se retira el consentimiento, su empresa / organización ya no puede procesar los datos. Una vez que el consentimiento ha sido retirada, su empresa / organización debe asegurarse de que se eliminan los datos a menos que puedan ser procesado s en otra causa legal (por ejemplo, los requisitos de almacenamiento o aquellos que son una necesidad para cumplir el contrato).

Si los datos se están procesando para varios propósitos, su empresa / organización no puede utilizar los datos personales para la parte de tratamiento para el que el consentimiento ha sido retirada o para cualquiera de los propósitos, dependiendo de la naturaleza de la revocación del consentimiento.

Ejemplo: Usted está proporcionando un boletín en línea. Su cliente da su consentimiento para suscribirse al boletín en línea que le permite procesar todos los datos de sus intereses para construir un perfil de los artículos que consulta. Un año después, se le informa de que ya no desea recibir el boletín en línea. Debe eliminar todos los datos personales relativos a la persona recogidos en el contexto del boletín de suscripción de su base de datos, incluyendo el perfil (es) en relación con esa persona.

¿Has puesto nombre a todos los plugins de terceros que procesan datos?


Sus banners de privacidad deben identificar claramente cada parte para la que se concedió la autorización. No es suficiente con indicar el nombre de la categoría, tales como análisis, sino que debe incluir la identidad de la organización, por ejemplo, Google, que procesa los datos.

¿Cómo pueden los visitantes y clientes ponerse en contacto con usted sobre los datos personales?


Los individuos pueden ponerse en contacto con su empresa / organización para ejercer sus derechos bajo la GDPR (derecho de acceso, rectificación, cancelación, portabilidad, etc.). Cuando los datos personales sean tratados por medios electrónicos, su empresa / organización debe proporcionar los medios para que las solicitudes se realicen electrónicamente.

Su empresa / organización debe responder a su solicitud sin demora indebida y, en principio, en el plazo de 1 mes desde la recepción de la solicitud. Se puede pedir a los usuarios información adicional con el fin de confirmar la identidad de la persona que hace la solicitud.

Si su empresa / organización rechaza la solicitud, entonces tiene que informar a la persona de las razones para hacerlo y de su derecho a presentar una queja ante la Autoridad de Protección de Datos y de buscar un remedio judicial.

¿Tiene pruebas de consentimiento válido?


La GDPR requiere que mantenga las pruebas del consentimiento – quién, cuándo, cómo y lo que dijo a los usuarios. Una buena práctica sería documentar tanto el consentimiento dado como el rechazado por los visitantes y clientes al procesar sus datos personales.

¿Ha actualizado sus políticas de datos y privacidad?


Usted tendrá que actualizar sus políticas asociadas, por ejemplo, su política de protección de datos. Es importante que las empresas documenten las políticas en su lugar para permitir al personal tener una comprensión clara de lo que se requiere de ellos.

Estas políticas pueden incluir información como la política de formación, la política de seguridad de la información, el procedimiento de retención de registros, formulario y procedimiento de solicitud de acceso del sujeto, procedimiento de privacidad, procedimiento de transferencia internacional de datos, procedimiento de portabilidad de datos y procedimiento de reclamación.

These policies can include information such as training policy, information security policy, retention of records procedure, subject access request form and procedure, privacy procedure, international data transfer procedure, data portability procedure and complaints procedure.

¿Ha limpiado su lista de correo?


 Asegúrese de limpiar sus bases de datos de correo electrónico. Si los datos de su base de datos de abonados no fueron recogidos de acuerdo con las normas de la GDPR, deberá validar que ha recibido el consentimiento necesario. Esto podría incluir el envío de un correo electrónico pidiendo la reautorización para que puedan optar por volver a dar su consentimiento. Esto proporcionará una prueba del consentimiento y hará que su negocio cumpla con la GDPR.

¿Está recogiendo demasiada información?


GDPR introduce el concepto de minimización de los datos, que obliga a que sólo se recopilen los datos que se requieren para llevar a cabo con éxito una tarea determinada. Por lo tanto, si bien puede ser fácil de agregar un campo adicional para recopilar información sobre el número de teléfono, sexo y ubicación, es necesario evaluar si usted lo necesita para procesar la solicitud. Además, los datos recogidos para una finalidad no pueden ser reutilizados sin consentimiento.