fbpx

GDPR: conceptos básicos y derechos del usuario

Si el término GDPR llega a tus oídos con más frecuencia, es porque el 25 de mayo se acerca. Si no sabes cómo puede afectará tu proyecto online, hoy vemos los conceptos básicos del GDPR y cómo inciden en tu proyecto.

GDPR significa Reglamento General de Protección de Datos y es la ley de privacidad de datos más completa jamás aprobada en la Unión Europea. El GDPR ha sido diseñado para fortalecer y unificar la protección de datos para todas las personas dentro de la Unión Europea. Y aunque es una ley de protección de datos europea, su alcance llega a nivel mundial. Cualquier proyecto que procese datos personales de ciudadanos de la Unión Europea debe cumplirlo. Estén en la Unión Europea o en cualquier otro país del mundo.

El GDPR no es una ley completamente nueva. Fue precedida por la Directiva de Protección de Datos de la Unión Europea, que fue aprobada en 1995 y permaneció vigente desde 1998 hasta mayo de 2018. Después de cuatro años de debate, la Unión Europea aprobó el GDPR en 2016, ampliando el número de obligaciones de protección de datos exigidas a las empresas y el número de derechos reforzados, muchos de los cuales ya existían en virtud de la Directiva de Protección de Datos.

Esta nueva ley será de obligado cumplimento el 25 de mayo de 2018. Y, en teoría, está diseñada para cubrir tanto la tecnología existente, como aquella tecnología que aún no se han inventado.

Por lo tanto, cualquier proyecto online debe cumplir con el GDPR y la protección de datos personales de sus usuarios. Por lo que necesitarás los conocer los siguientes conceptos para realizar una implementación práctica correcta.

Conceptos clave del GDPR

El GDPR incluye casi 100 disposiciones diferentes que indican a las empresas y proyectos online cómo recopilar, gestionar y procesar los datos personales de sus usuarios. Al mismo tiempo, también definen los derechos sobre sus datos clave para los ciudadanos de la Unión Europea.

En este mundo actual, de Big Data y tecnología interconectada, el GDPR proporciona una nueva forma de pensar la privacidad de datos que muchas otras regiones, como Asia o América Latina ya están utilizando como base para sus propias leyes de privacidad de datos.

Por lo tanto, es importante que tengas un conocimiento práctico del GDPR, ya que muchos de sus principios básicos probablemente regirán la forma en que incluso los países fuera de la Unión Europea entenderán la protección de datos personales.

Entonces, te estarás preguntando… ¡Vale, Ángel!, ¿qué dice el GDPR? Pues en esencia, el GDPR se divide en cuatro conceptos clave.

  • ¿Tu proyecto está procesando legalmente los datos personales de tus usuarios?
  • ¿Estás respetando los derechos de tus usuarios sus datos personales?
  • ¿Cumples con las obligaciones como controlador o procesador de datos personales?
  • ¿Tu proyecto está diseñado para asegurar y mantener la privacidad de tus usuarios?

Además de estos cuatro puntos, hay que destacar algunos cambios importantes que generará el GDPR:

  • El GDPR requerirá que muchas empresas y proyectos online designen un oficial de protección de datos, o DPO. El oficial de protección de datos será una persona que deberá tener la autoridad e independencia suficientes para supervisar el cumplimiento de la empresa con respecto al GDPR.
  • Además, el GDPR proporcionará protección especial para los niños menores de 16 años. A partir del 25 de mayo de 2018 se necesitará el consentimiento expreso de los padres antes de que cualquier empresa pueda recopilar los datos personales de un niño. Si tu proyecto recopila o procesa datos personales de niños de la Unión Europea menores de 16 años, este es un problema grave que deberías tener en cuenta, ya que la edad de consentimiento de los padres varía entre los los distintos países de la Unión Europea.
  • Por último, otro factor importante es la cantidad de tiempo que tendrás para responder ante una violación de datos personales. El GDPR exige que informes sobre cualquier infracción de datos a un regulador de la Unión Europea dentro de las 72 horas siguientes al momento de la infracción. Eso sólo te da tres días para investigar el incidente. Lo que significa que tu proyecto necesitará tener muy claro el procedimiento a seguir en caso de violación de datos personales. Deberás tener un procedimiento claro y rápido con tu asesor legal y de seguridad para actuar dentro de las 72 horas de margen.

La privacidad desde el diseño

La privacidad contemplada desde la fase de diseño es un concepto clave del GDPR. Y aunque esta idea existe desde hace tiempo, el GDPR lo convierte en un requisito legal.

La privacidad desde el diseño significa pensar en la privacidad de los datos personales y sus implicaciones cuando estás desarrollando tu proyecto, tus productos, sus características e incluso tus campañas de marketing.

Por otra parte, el GDPR te obliga a documentar las decisiones clave en materia de privacidad que tomes en torno a la recopilación, uso y almacenamiento de datos personales de tus usuarios. Y es que documentar el cumplimiento con el GDPR quizá sea uno de los aspectos más difíciles y lentos de toda esta ley. Hay varias maneras:

  • En primer lugar, es posible que debas completar un proceso de revisión de privacidad de tus productos o sus características para garantizar el cumplimiento del GDPR antes de que se active. Este procedimiento se conoce como Evaluación de Impacto de Protección de Datos o DPIA. Los DPIA ayudan a documentar todas las decisiones clave dentro de tu proyecto que tengan impacto en la privacidad de tus usuarios.
  • En segundo lugar, debes inventariar los datos personales que almacenas y recopilas. Además, dicha auditoría debe realizarse regularmente para garantizar que el mapeo de tus flujos de datos esté siempre actualizado.
  • En tercer lugar, debes actualizar tus políticas y procedimientos existentes o, si no los tienes, desarrollarlos para que describan cómo se protegerán, eliminarán y procesarán los datos personales de tus usuarios.
  • En cuarto lugar, si tienes empleados debes proporcionar la capacitación necesaria para garantizar que ayudan a proteger los datos y cumplir con las solicitudes de los clientes.

Por último, debes barajar la posibilidad de crear un centro de ayuda para tus usuarios para que sepan cómo ejercer fácilmente sus derechos como dueños de sus datos que son. Y actualiza las configuraciones que ofreces a tus usuarios.

Y si hay algo de lo anterior que falla, recuerda esta regla de oro: trata los datos personales de tus usuarios con el mismo cuidado que te gustaría que trataran tus propios datos. La mayoría de los problemas de privacidad se pueden resolver siguiendo esta sencilla regla.

Derechos clave del GDPR

Los derechos de los individuos a los que pertenecen los datos, o DSR, como suelen denominarse, son los derechos que han sido diseñados para otorgar a los individuos un mayor control sobre sus datos personales. Los DSR son en realidad un beneficio para cada uno de nosotros como individuos, así que veamos rápidamente estos derechos clave.

  1. El derecho a ser olvidado, lo que significa que las personas pueden solicitar a las empresas que eliminen sus datos.
  2. El derecho de acceso a los datos que una empresa tiene sobre ti.
  3. El derecho a la portabilidad que permite a las personas solicitar a las empresas que proporcionen sus datos a otra empresa en su nombre.
  4. El derecho a la restricción del procesamiento que permite a un individuo exigirle a una empresa que deje de procesar sus datos personales.
  5. El derecho a rectificar o corregir datos que una empresa puede tener sobre ti.
  6. Y, por último, el derecho a oponerse al procesamiento de tus datos personales en cualquier momento.

Como puedes ver, estos derechos son exhaustivos y difíciles de implementar técnicamente. Aunque ya hay algún plugin en el repositorio de WordPress para intentar cumplir con estos derechos como WP GDPR o WP GDPR Compliance, todavía se está trabajando para adaptar el propio core de WordPress a las exigencias del GDPR.

Bases legales del GDPR

Otro concepto clave es la legalidad del procesamiento de los datos. La Unión Europea exige que las empresas tengan una base legal para recopilar, usar, manejar y almacenar los datos personales de las personas. Existen varias formas en que las empresas pueden probar que están procesando datos legalmente, pero los tres métodos más comunes son:

  1. La necesidad contractual significa que existe un acuerdo entre una empresa y una persona sobre el procesamiento de sus datos personales. Esta base se aplica siempre que la recopilación de datos sea necesaria para cumplir un contrato.
  2. Las empresas también pueden contar con el consentimiento, pero ahora debe ser inequívoco y seguido por una acción afirmativa por parte del usuario. Por lo que si tu base de suscriptores está basada en el consentimiento implícito que realizaron hace años, ahora deberás conseguir el consentimiento expreso de cada usuario. Por lo que en las próximas semanas recibirás numerosas comunicaciones de todos aquellos servicios online que utilices, notificándote que tienes que dar tu consentimiento para el tratamiento de tus datos personales.
  3. Finalmente, el interés legítimo es la tercera base legal. Éste establece que las empresas deben equilibrar los intereses de la empresa con los derechos y libertades del individuo cuyos datos personales recopila. De este modo, si estás haciendo una compra online, la empresa necesita la información suficiente sobre ti para completar la transacción y prevenir el fraude. Por lo tanto, esa empresa puede basarse en intereses legítimos como base para recopilar tu nombre, la información de tu tarjeta de crédito y tu dirección. Por lo tanto, el interés de la empresa en procesar la transacción y prevenir el fraude supera tu interés en proteger la privacidad de tu nombre y dirección.

¿Controlador o procesador de datos?

La última idea final de la que quiero hablarte es sobre los controladores y los procesadores. Bajo el GDPR, las empresas se dividen en dos grupos:

Las empresas que deciden cómo se procesarán los datos personales son controladores. Por el contrario, si estás procesando datos en nombre de otra entidad, eres un procesador.

Como controlador, si no cumples con las obligaciones establecidas en el GDPR, tu empresa corre el riesgo de ser sancionada. Pero si uno de tus proveedores o procesador maneja mal los datos de tus usuarios o comete un error, también puede ser considerado responsable por no haber investigado correctamente a tu procesador.

Por lo tanto, esta es la razón por la cual muchas empresas están revisando actualmente los acuerdos contractuales con sus usuarios y revisando cuidadosamente las cláusulas de privacidad y seguridad de sus proveedores. Porque si tu proveedor se equivoca, bajo el GDPR, tu proyecto también puede estar en peligro. ¡Así que mucho ojo!

Resumiendo…

Ya faltan apenas dos meses para que esta nueva regulación europea entre en vigor. Y como puedes ver, la implantación del GDPR en tu proyecto requiere de una revisión profunda de muchos procesos, tanto internos como externos. No es algo que debas dejar para el 24 de mayo, ya que el incumplimiento del GDPR conlleva sanciones de hasta 20 millones euros o el 4% de tus ingresos globales. Por lo tanto, no es para tomárselo a broma.

Como ya hemos visto más arriba, ya hay alguna aproximación en forma de plugin para cumplir la nueva normativa de protección de datos, y se está trabajando en el core de WordPress para que tu instalación de WordPress cumpla con el GDPR.

En las próximas semanas seguiré este tema de cerca, ya que afecta a prácticamente la totalidad de los proyectos que existen hoy en día. Y en el momento que haya alguna novedad importante, volveremos con ella. Pero si tienes cualquier duda sobre el GDPR o sobre cualquier otra cosa relacionada con tu proyecto online, recuerda que puedes contactar conmigo. Mientras tanto, espero que hoy tengas un poco más claro sobre en qué y cómo afecta el GDPR a tu proyecto… ¡Seguimos! 😉

Author avatar
Ángel Martín
Ayudo a emprendedores y empresas a digitalizar su negocio y sus procesos optimizando sus costes.