RODO: el miedo tiene ojos grandes

La información sobre el RODO nos bombardea desde todas las direcciones. ¿Las nuevas leyes realmente están trayendo una revolución? ¿Deberías tenerles miedo? Trataré de presentar a qué deberían prestarle atención los administradores de sitios web, tiendas virtuales y aplicaciones, así como a las personas que diseñan e implementan tales soluciones de Internet.

RODO es el Reglamento General sobre Protección de Datos Personales 2016/679, que comenzó a aplicarse a partir del 25 de mayo de 2018. Es importante destacar que no es que el RODO introduzca una revolución total en los principios del procesamiento de datos. Ya hay una serie de requisitos relacionados que deben considerarse y aplicarse al implementar un proyecto de TI. Sin embargo, debe admitirse que el RODO tiene algo que lo hace feliz de hablar sobre él, desafortunadamente, a menudo enfocándose solo en castigar las penalidades, que en realidad son muy altas, pero no dicen mucho acerca de la regulación en sí mismas. En este material intentaré presentar a qué deberían prestarle atención los administradores de sitios web, tiendas virtuales y aplicaciones , así como a las personas que diseñan e implementan tales soluciones de Internet. Este artículo no es solo una guía para las personas que crean nuevos proyectos, sino también para aquellos que desean adaptar los que ya están trabajando a las nuevas regulaciones.

Privacidad por diseño

En primer lugar, privacidad por diseño, es decir, tener en cuenta la protección de datos en la fase de diseño. Para algunos de ustedes, probablemente teniendo en cuenta la protección de los datos personales al crear una aplicación, la tienda electrónica o el servicio era obvio y no es nuevo. Sin embargo, el RODO introduce este principio directamente y no hay duda de que la protección de datos debe tenerse en cuenta desde el principio.

Política de protección de datos

RODO, a diferencia de las reglamentaciones actuales, no indica en detalle qué medidas técnicas y organizativas específicas deberían utilizarse, por lo que el papel del controlador de datos es mayor que el de hoy . El administrador, teniendo en cuenta el estado del conocimiento técnico, el costo de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento y el riesgo de violar los derechos o libertades de las personas, implementa las medidas que considere apropiadas y suficientes en un caso dado. Es una facilitación, pero también un desafío mayor para el administrador, que debe decidir sobre las medidas apropiadas para su actividad. Hasta el momento, una pequeña tienda en línea en la que solo el propietario tiene acceso a los datos, tuvo que usar la misma seguridad que una gran empresa con un equipo de personas. Como ejemplos de tales medidas en el RODO, entre otros, encriptación, seudonimización de datos o la capacidad de restaurar rápidamente el acceso a los datos personales en caso de un incidente físico o técnico. ¿Te estás preguntando cómo demostrar el cumplimiento con la CUERDA a este respecto? Entre otras cosas, implementando políticas internas de protección de datos apropiadas. Si su empresa tiene documentación para el procesamiento de datos personales creados sobre la base de las reglamentaciones vigentes, tiene una buena base para desarrollar las políticas mencionadas en el GDPR.

En lugar de informar archivos, mantener un registro de las actividades de procesamiento de datos

fot. JacobST, Fotolia.com

fot. JacobST, Fotolia.com

Desde el momento de iniciar la aplicación del RODO para el procesamiento de datos legales, no será necesario enviar los conjuntos de datos para el registro ante la autoridad correspondiente ( actualmente GIODO ). Por otro lado, el RODO requiere, en la mayoría de los casos, que el administrador del registro lleve a cabo actividades de procesamiento de datos personales en las que, ante todo, información como:
  • nombre y apellido y nombre del administrador,
  • fines de procesamiento (por ejemplo, proporcionar servicios electrónicos),
  • descripción de las categorías de los sujetos de datos (por ejemplo, clientes de la tienda o usuarios de la aplicación),
  • descripción de categorías de datos personales (por ejemplo, direcciones de correo electrónico),
  • categorías de destinatarios a quienes se han divulgado o se divulgarán los datos personales,
  • si es posible, fechas programadas para la eliminación de categorías de datos individuales,
  • si es posible, una descripción general de las medidas de seguridad técnicas y organizativas.

Existe una exclusión en el RODO según la cual los empresarios que emplean a menos de 250 empleados no tienen que cumplir con esta obligación, pero con la condición de que el procesamiento:

  • puede no llevar al riesgo de violar los derechos o libertades de los interesados;
  • no es ocasionalmente o
  • cubre categorías específicas de datos personales o datos personales relacionados con condenas y violaciones de la ley.

Debe recordarse que el almacenamiento de datos en sí mismo es el procesamiento de datos, por lo que parece que incluso si ejecuta una tienda electrónica y no procesa datos, debe mantener un registro. Este último puede mantenerse en forma electrónica; también debe recordar que es un documento interno y no debe colocarse en un sitio web accesible para los usuarios.

Conceptos básicos de procesamiento

Sin embargo, antes de comenzar a procesar datos personales, asegúrese de que exista una base legal, y si ya está procesando datos, verifique que puede hacerlo. Las razones más comunes para el procesamiento de datos personales en el caso de aplicaciones, e-stores o servicios muy probablemente, como hoy, serán:

  • contrato: sin consentimiento adicional, puede procesar los datos necesarios para la ejecución del contrato del que el interesado es parte (por ejemplo, envío de productos comprados en una tienda en línea o prestación de servicios por medios electrónicos).
  • consiente el procesamiento de los datos personales expresados ​​por el interesado (por ejemplo, para enviar información de marketing),
  • la necesidad de cumplir con la obligación legal que incumbe al administrador de datos (por ejemplo, la responsabilidad tributaria),
  • implementación de objetivos resultantes de intereses legalmente justificados llevados a cabo por el administrador.

Atención a categorías especiales de datos personales

¿Estás creando una aplicación para personas que practican deportes, en la que se procesarán datos sobre la salud de los usuarios ? Debes saber que hay llamados categorías especiales de datos personales, que no pueden procesarse en principio, pero el RODO no introduce una revolución aquí, ya es el caso, la RDE incluso introduce alguna facilitación, pero más sobre esto más adelante. ¿De qué información se trata? Entre otras cosas, revelar el origen racial o étnico, las opiniones políticas, las creencias religiosas o ideológicas, así como la genética, la biometría o la salud, la sexualidad o la orientación sexual. El RODO, tal como está ahora, permite el procesamiento de tales datos bajo ciertas condiciones estrictas. Una de estas condiciones es el consentimiento del sujeto de datos y es este pase para procesar datos confidenciales que con mayor frecuencia se aplicarán al comercio electrónico. A diferencia de los datos "regulares", la conclusión de un contrato en la mayoría de los casos no será suficiente. Facilitación que introduce el PBI : el consentimiento no tiene que escribirse, es decir, el consentimiento se otorgará electrónicamente. Actualmente, si desea actuar de acuerdo con la ley procesando datos confidenciales, debe obtener un consentimiento por escrito para procesar estos datos. En teoría, cualquiera que use la aplicación que procesa sus datos confidenciales debe enviar un consentimiento por escrito al administrador (el simple correo electrónico no es un formulario).

Consentimiento para el procesamiento de datos

fot. Bigstock

fot. Bigstock

El consentimiento para el procesamiento de datos es un requisito previo del procesamiento que causa la mayoría de los problemas para los administradores, pero también para los abogados cuyas opiniones a menudo son bastante diferentes a este respecto. La expresión de consentimiento debe ser principalmente el resultado de una acción inequívoca y ser consciente y voluntario. Para evaluar si el consentimiento se ha expresado de forma voluntaria, según el RODO, se debe tener en cuenta tanto como sea posible. la ejecución del contrato, incluida la prestación del servicio, no está sujeta a consentimiento, si el procesamiento no es necesario para la ejecución del contrato. Es importante destacar que, si el procesamiento tiene propósitos diferentes , debe obtener todo el consentimiento . En los considerandos del RODO, que forman parte de él, se señaló que el consentimiento puede consistir en:
Marcar el cuadro de selección cuando se navega por el sitio web, seleccionar ajustes técnicos para utilizar los servicios de la sociedad de la información o cualquier otra declaración o comportamiento que indique claramente en el contexto que el interesado ha aceptado el procesamiento propuesto de sus datos personales. El silencio, los cuadros predeterminados o la falta de acción no debe significar consentimiento.

Recuerde que debe ser capaz de demostrar que la persona realmente dio el consentimiento apropiado , por ejemplo, registrarse en la base de datos quién, cuándo y cómo estuvo de acuerdo. El consentimiento para el procesamiento de datos puede retirarse en cualquier momento y debe ser tan simple como dar su consentimiento. No puede exigir que un usuario que haya aceptado electrónicamente retirarlo envíe una carta certificada. Si proporciona servicios a la sociedad de la información (por ejemplo, mantener una cuenta en un perfil social o proporcionar juegos en el marco de una aplicación) a los niños, debe tener en cuenta las restricciones al consentimiento de quienes ingresan el PIB. Según el RODO, puede procesar los datos de un niño de más de 16 años de edad. En el caso de los niños más pequeños, es necesario dar el consentimiento de la persona que ejerce la patria potestad o la custodia del niño. Es su responsabilidad como administrador verificar si la persona correcta está de acuerdo. El RODO no indica exactamente cómo hacerlo, pero la regulación muestra que se deben realizar esfuerzos razonables para este fin, teniendo en cuenta la tecnología disponible.

La privacidad del usuario debe estar protegida por defecto

Aceptamos la obligación de procesar solo los datos personales que sean necesarios para lograr el objetivo del procesamiento de acuerdo con el principio de privacidad por defecto introducido por RODO, que proporciona a los usuarios protección de privacidad por defecto. Como administrador de datos, debe implementar medidas técnicas y organizativas apropiadas que solo procesen los datos necesarios. Esta obligación se aplica no solo a la cantidad de datos personales recopilados, sino también al alcance de su procesamiento, período de almacenamiento y disponibilidad, mientras que las medidas son para garantizar que los datos personales por defecto no estén disponibles para un número no especificado de entidades sin la acción del interesado. ¿Cómo poner este principio en práctica? Por ejemplo:

  • si ejecuta una tienda en línea, ajuste el formulario de pedido de tal manera que solo los datos que son realmente necesarios para el procesamiento de la orden se recopilan del usuario,
  • si tiene un boletín informativo, recuerde no ingresar automáticamente a todos sus clientes en la lista de correo, sino solo a aquellos que se suscriban a él,
  • Si usted es el administrador de la aplicación / servicio de red social, asegúrese de que el usuario decida poner los datos a disposición de un número de personas no especificado; de forma predeterminada, su privacidad debe estar protegida.

Paquete de información de usuario para principiantes

Proporcionar información por parte del usuario, ya sea en el sitio web o en la aplicación, no debe ser, en resumen, un acto unilateral. Cuando recopile datos del usuario, debe proporcionarle el paquete de información RODO sobre sí mismo y las condiciones para procesar sus datos. Si recopila datos de usuarios, comparta información sobre usted con ellos. Ya debe cumplir con la obligación de información relacionada con el procesamiento de datos, pero RODO amplía significativamente su alcance . ¿Cuándo podemos hacerlo? Por ejemplo, al realizar un pedido en una tienda en línea o al crear una cuenta en el sitio web.

fot. tsyhun, Fotolia.com

fot. tsyhun, Fotolia.com


¿Qué información debe proporcionar?

A continuación hay ejemplos de contenido que debe pasarle al usuario:

  • En primer lugar, informe al usuario quién es usted, incluidos sus datos de contacto,
  • la persona cuyos datos está procesando debe saber para qué fines se procesarán los datos y sobre qué base legal,
  • la siguiente información que se proporcionará es el período durante el cual se almacenarán los datos personales, y si esto no es posible, los criterios para determinar este período (por ejemplo, hasta que la cuenta se encuentre en el sitio web o hasta la baja del boletín),
  • luego, lo que ya existe en cierta medida: información sobre el derecho de solicitar al administrador acceso a datos personales relacionados con el interesado, rectificación, eliminación o limitación del procesamiento o el derecho a oponerse al procesamiento, así como el derecho a transferir de datos,
  • ¿está procesando datos en base al consentimiento? El usuario debe saber esto y, lo que es más importante, debe estar informado de que puede retirar su consentimiento en cualquier momento.

Espero que no hayas tenido miedo y hayas llegado a este lugar, pero aquí te espera otro desafío: esta información debe transmitirse al usuario de forma concisa, clara, comprensible y de fácil acceso, con un lenguaje claro y sencillo. Requiere un poco de puesta de sol, pero créanme, se puede hacer.

Otros derechos de las personas cuyos datos usted procesa

A continuación se detallan los otros derechos de las personas cuyos datos procesará o procesará para tenerlos en cuenta al ejecutar una tienda, servicio o aplicación.

El derecho a ser olvidado (el derecho a eliminar datos)

Como ya sabe, no puede procesar sus datos personales simplemente para siempre; debe tener una base legal, pero el RODO indica directamente que usted tiene derecho a que lo "olvide". Esto aplica, entre otros una situación en la cual:

  • los datos del usuario ya no son necesarios para el propósito para el cual fueron recolectados,
  • el usuario ha retirado el consentimiento para el procesamiento de datos,
  • el usuario se ha opuesto al procesamiento de sus datos con el fin de implementar fines de administrador legalmente justificados,
  • los datos se han recopilado en relación con el servicio de la sociedad de la información que ofrece.

Por supuesto, si, por ejemplo, sobre la base de las reglamentaciones pertinentes (por ejemplo, impuestos) está obligado a almacenar datos, no tiene que, o incluso no puede eliminarlos. ¿Cuál es el significado práctico? Por ejemplo, puede incluir la función "Eliminar mi cuenta y olvidarme" en la red social que cree.

El derecho a transferir datos

Si procesa datos sobre la base de un contrato, consentimiento o de manera automatizada, su usuario del servicio puede solicitarle que transfiera su información a otro administrador. Debe proporcionar estos datos en un formato estructurado, comúnmente utilizado y legible por máquina. Si la solución de Internet que proporciona puede generar la aparición frecuente de dicha necesidad por parte del usuario, tal vez debería pensar en la función del sitio web, lo que facilitará tanto a usted como al usuario.

Encomiendo el procesamiento de datos personales

¿Procesas datos cuyos administradores son usuarios de tu sitio? Si es así, entonces usted es el procesador. ¿No estás seguro si este es el caso para ti? Le daré un ejemplo: si ejecuta una plataforma donde varias entidades (usuarios de la plataforma) ejecutan sus tiendas en línea, entonces los datos de los clientes de la plataforma se le confían para su procesamiento y, por lo tanto, usted es el procesador . ¿Qué importa? En el caso anterior, se debe concluir un contrato de procesamiento de datos entre usted y el usuario de la plataforma, en el que el usuario le confía los datos. Vale la pena tener un contrato de este tipo en el sitio web, por ejemplo, como un archivo adjunto a las normas, que es aceptado por el usuario de la plataforma cuando se funda la tienda en la plataforma. Y aquí hay otra simplificación introducida por el RODO: este acuerdo puede concluirse electrónicamente, por lo que no es necesario reemplazar las versiones en papel de los documentos. Los requisitos detallados sobre el contenido de dicho acuerdo se establecen en el art. 28 para. 3 RHODE.

RODO no es tan terrible

Espero que después de leer el material anterior, se pueda concluir que RODO no es tan terrible, e incluso introduce algunas facilidades . Una de ellas es que las mismas reglas sobre datos personales se aplicarán en toda la Unión Europea. Además, en algunos casos, se eliminó la forma escrita (principalmente en el consentimiento para el procesamiento de datos confidenciales y el contrato para confiar el procesamiento de datos), que es de gran importancia práctica para los empresarios que operan en la red. Y lo que quizás sea más importante: un emprendedor novel ya no tendrá que cumplir con los mismos requisitos que una gran empresa, gracias a la posibilidad de utilizar medidas de protección de datos adecuadas a la escala y naturaleza de sus operaciones.

  • Guía: RODO para emprendedores
  • Guía: Los 7tos mandamientos de RODO para el ciudadano

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *