A menos que hayas estado viviendo bajo una roca durante las últimas semanas, lo más probable es que te hayan inundado con correos electrónicos sobre GDPR. Si usted no está en el bucle, GDPR (general de protección de datos de regulación) es un nuevo conjunto de requisitos relacionados con la protección de los datos personales de los residentes de la UE.
Las discusiones iniciales comenzaron hace seis años, pero no se alcanzó el acuerdo sobre lo que el GDPR final se vería como hasta abril 2016, cuando el plazo de cumplimiento se fijó para el 25 de mayo de 2018. El frenesí de cumplimiento sólo ha aumentado a medida que el plazo ha llegado y se ha ido, y GDPR es ahora oficialmente en vigor.
Entonces, ¿qué implica exactamente GDPR, y qué significa para los propietarios y editores de sitios web? Desglosaremos la información de la necesidad de saber en esta útil lista de verificación.
¿GDPR te afecta?
GDPR no sólo se aplica a las empresas de la Unión Europea; impacta a cualquier empresa, en cualquier parte del mundo, que recopile, almacene o procese datos de los residentes de la UE. Algunas empresas están impactado más fuertemente que otros, sin embargo:
- Empresas que procesan o almacenan un gran volumen de datos de consumo
- Empresas tecnológicas y comercializadoras
- Corredores de datos que manejan el procesamiento de datos o conectan sistemas dispares
- Editores digitales/operadores de sitios web
¿El mayor impacto? Afecta a las empresas con modelos de negocio que dependen de la recopilación y el aprovechamiento de los datos de los consumidores.
La conclusión: Si recopila, utiliza, almacena o accede a datos de residentes europeos, el RGPD le afecta. Siga leyendo para saber lo que los editores -y cualquier persona responsable de supervisar un sitio web- deben saber sobre el GDPR.
GDPR cambia de un vistazo
¿Qué tiene de diferente GDPR en comparación con las anteriores normas de protección de datos que estaban en su lugar?
- La definición de información privada se amplía y ahora incluye cualquier dato que pueda identificar a un individuo – ya sea directa o indirectamente. Que incluye números de identificación de dispositivos, datos de geolocalización, direcciones IP e incluso identificadores de cookies.
- lOs datos de "categoría especial" son datos personales que se clasifican como más sensibles, por lo que se requiere una protección aún más segura. Además de la raza, el origen étnico, la política, la religión, la membresía sindical, la salud, la vida sexual y la orientación sexual, esto ahora incluye datos genéticos y biométricos.
- Usted necesita consentimiento explícito para compartir cualquier dato personal sobre cualquier residente de la UE. Ese consentimiento tiene que ser inequívoco y ser específico para cada actividad de procesamiento de datos, permitiendo a los residentes de la UE dar su consentimiento a los tipos de procesamiento de datos con los que se sienten cómodos. Básicamente, sus usuarios ahora están optando por el procesamiento de datos, y usted tiene que informarles que pueden retirar su consentimiento en cualquier momento.
- Usted puede ser multado por violaciones no importa donde su negocio se encuentra.
- Usted es responsable de las violaciones si es propietario de datos (controlador) o procesador de datos. Eso significa que incluso si su negocio simplemente maneja datos en nombre de otra compañía, usted es responsable del cumplimiento de GDPR. Asegúrese de investigar los pasos de sus vendedores hacia el cumplimiento, y comprender cómo seguir usando sus herramientas y servicios de manera responsable. (por ejemplo, si estaba usando ShareThis botones de compartir de las redes sociales, usted podría asegurar la conformidad fácil usando ShareThis nuevo de Herramienta de cumplimiento de RGDP.)
- Los editores son a menudo dueños de datos, lo que significa que usted es responsable de informar de las violaciones a las autoridades apropiadas dentro de 72 horas de descubrimiento.
¿Cuál es la diferencia entre un controlador de datos y un procesador de datos? Un controlador de datos es la entidad encargada de determinar Cómo se procesan los datos personales y por qué. Los procesadores de datos, por otro lado, manejan el procesamiento real en nombre del controlador. Los editores son, en la mayoría de los casos, controladores de datos.
Qué debe saber (y hacer) si usted es un editor o un operador de sitio web
Como editor, es probable que le dé a sus usuarios una variedad de formas de interactuar con su contenido, desde botones que les permiten Síguete en los medios sociales, para comentar las secciones de sus artículos, a las maneras fáciles de reaccione a su contenido. La mayoría de los sitios web utilizan cookies para reconocer a los usuarios y proporcionar una experiencia más personalizada. Todas estas actividades pueden dar lugar a la recopilación de datos en sus usuarios, lo que deja a los editores en el gancho para el cumplimiento de GDPR.
Hemos desglosado los pasos de acción y los must-dos que cada operador de Publisher o sitio web necesita saber para cumplir con GDPR abajo.
Imprescindible para dos
- Nombrar a alguien que se encargue del cumplimiento del RGPD. Algunas empresas están obligadas a nombrar a un responsable de la protección de datos (DPO) en virtud de las nuevas normas, incluidas las autoridades públicas y los procesadores de datos que operan a gran escala, aunque es probable que esto no sea necesario para los editores de menor escala. Incluso si no está obligado a nombrar a un DPO, le conviene nombrar a alguien que lidere el desarrollo de una estrategia de cumplimiento del GDPR, supervise el cumplimiento continuo y se mantenga al tanto de los nuevos desarrollos del GDPR.
- Forme a su personal sobre el GDPR. Cualquiera que toque datos de usuarios, clientes o visitantes debe saber quién dentro de la organización es responsable de la estrategia del GDPR y entender qué infracciones del GDPR pueden producirse.
- La documentación es tu nueva mejor amiga. Documenta claramente todos los pasos del proceso de recopilación, uso, almacenamiento y compartición de datos personales, y asegúrate de que cualquier cambio en estos procesos también se documenta inmediatamente.
- Realice auditorías periódicas. Para asegurarse de que su empresa sigue cumpliendo la normativa, debe auditar periódicamente su entorno digital, sus procesos y su documentación.
Administración de proveedores
- Evalúe a sus proveedores y comprenda su cumplimiento. Como editor, es probable que trabaje con varios proveedores para diferentes facetas de su operación, como la analítica y la publicidad. En virtud del RGPD, le corresponde determinar si sus proveedores cumplen con el RGPD. Los editores suelen trabajar con numerosos proveedores externos, y ahora es un buen momento para evaluar y perfeccionar esas asociaciones. Sea selectivo con quién trabaja.
- Comunique su política de datos. Es posible que tenga que revisar los contratos con sus proveedores para incorporar sus expectativas en cuanto a la gestión de datos. Comunique sus políticas de datos a todos y cada uno de los proveedores con los que trabaje en cualquier capacidad relacionada con los datos.
- Defina en sus contratos los procesos de notificación de violaciones. En caso de violación de datos, el proveedor es responsable de notificar al propietario de los datos (el responsable del tratamiento) la violación lo antes posible. Es una buena idea detallar por escrito este proceso, los plazos y otros requisitos de notificación.
- No recopile datos personales. Si alguno de los datos de sus usuarios cae bajo la definición de "datos personales" de GDPR, tome medidas para no recopilarla o compartirla con terceros sin el consentimiento explícito del usuario.
Administración de usuarios
- Desarrolle nuevos avisos de privacidad. Como hemos dicho antes, el consentimiento tiene que ser explícito y específico, así que asegúrese de que sus avisos estén en un lenguaje sencillo y sean fácilmente comprensibles para que los usuarios opten por las actividades de recogida y tratamiento de datos. Explique claramente qué datos quiere recoger, por qué y qué piensa hacer con ellos, incluyendo cómo se almacenarán y si se compartirán con terceros.
- Desarrolle un proceso para informar a los usuarios, obtener el consentimiento y gestionarlo. Recuerda que los residentes de la UE pueden retirar su consentimiento para cualquier actividad de procesamiento de datos en cualquier momento, por lo que necesitarás un proceso claro para estar al tanto de qué consentimiento has obtenido para qué personas. ShareThis ' Herramienta de cumplimiento de RGDP facilita a los usuarios el control de sus datos.
- Diseñar estrategias para facilitar a los usuarios el acceso a sus datos. Según el RGPD, los residentes de la UE pueden solicitar copias de sus datos personales en cualquier momento, y los responsables del tratamiento deben cumplirlo en el momento oportuno. Haga que los datos personales sean accesibles para los usuarios y permítales corregir cualquier inexactitud con facilidad.
- Desarrolle procesos para identificar las infracciones e informar a los usuarios y autoridades afectados. Si se produce una brecha, usted y su personal deben conocer los pasos inmediatos a seguir. ¿Quién se encarga de notificar a las autoridades? ¿Cómo determina si debe notificar a las personas afectadas? ¿Qué información hay que incluir en la notificación de la violación? Toda esta información debe ser inmediatamente accesible, y debe haber alguien encargado de llevar a cabo cada paso (incluso si es la misma persona la que se encarga de cada tarea).
- No olvide el derecho a ser olvidado. Según el GDPR, los residentes de la UE pueden solicitar que sus los datos se borran. Los editores (y cualquier entidad sujeta a GDPR) deben cumplir de manera oportuna, por lo que es imperativo tener un proceso definido para cumplir con estas peticiones. Eso también significa tomar "pasos razonables" para notificar a los procesadores u otros terceros que hayan tocado los datos.
El cumplimiento de GDPR parece intimidante para muchos editores y propietarios de sitios web, pero una vez que usted tiene una comprensión firme de lo que las regulaciones implican, está claro que estos son de sentido común y (sobre todo) los requisitos prácticos que fortalecen la privacidad del usuario. Mientras que usted necesitará volver a visitar las alianzas, revisar el lenguaje de contrato, y desarrollar nuevas políticas y procedimientos, vale la pena su tiempo para evitar las sanciones costosas, y, más importante, dar a sus usuarios la privacidad que se merecen.
