Datos personales — es una frase popular que está inundando las noticias y nos obliga a pensar en nuestra identidad en línea y cómo
está siendo utilizada por otros sitios web y empresas.
Los negocios en línea y los propietarios de sitios web a menudo actúan como custodios de datos personales sensibles que han recopilado. Con la
reciente implementación del GDPR — normativas exhaustivas
que rigen la seguridad de datos y la privacidad en la
UE — podrías estar preocupado por cómo estás almacenando y protegiendo la información de otras personas, y si esos datos están
seguros y protegidos.
¿No lo estás?
Las nuevas leyes de datos personales de la UE están poniendo la responsabilidad en ti para asegurar que estás cumpliendo, pero estamos aquí para darte algunos consejos. El Reglamento General de Protección de Datos se centra en dar a los ciudadanos más control sobre sus datos en la web.
Además de empoderar a los usuarios para decidir qué sucede con su información, el GDPR también incluye nuevas reglas sobre cómo las organizaciones deben manejar esos datos. Todo esto puede requerir alguna acción de tu parte, incluso si no estás basado en la UE. Aquí está lo que necesitas saber, y lo que puedes hacer para mantenerte al tanto.
Relacionado: DreamHost cumple con el GDPR
Lo que necesitas saber sobre el GDPR
1. El RGPD está aquí.
Así es: El GDPR entró en vigencia el 25 de mayo de 2018. Eso significa que si aún no has actualizado tu sitio web
para cumplir, necesitas comenzar a ponerte al día. El resto de este artículo te proporcionará algunos consejos y recursos sobre
lo que esto implica. ¡No entres en pánico! Después de leer este artículo, te recomendamos dirigirte al sitio web oficial del GDPR para ponerte al día.
2. El GDPR se aplica a los “datos personales” de las personas en la UE.
Puede haber muchas razones por las que un sitio web recopila datos de usuarios: para facilitar una compra, distribuir una lista de correo, dirigir publicidad, o determinar el tipo de contenido más popular. Sea cual sea el propósito, si esos datos pertenecen a un individuo que visita el sitio desde un estado miembro de la UE, se aplica el GDPR.
Los visitantes del sitio web no necesitan ser ciudadanos de la UE — si están visitando la UE desde, por ejemplo, Ghana o Brasil, y
visitan tu sitio, tu sitio necesita proteger sus derechos bajo el GDPR.
Aunque la regulación se basa en Europa, en realidad tiene un alcance más amplio de lo que parece a primera vista. Si su
negocio tiene alguna conexión con Europa, ya sea a través de clientes o socios (¡incluso solo uno!), debería estar al tanto de
lo que la ley requiere.
3. La definición de datos personales se amplía en el GDPR.
Cuando pensamos en datos personales, cosas como nombre, dirección y número de teléfono podrían venir a la mente. Hay mucho más
que eso, según la definición del GDPR. Yendo más allá de los detalles que normalmente se considerarían
información personal identificable, el GDPR establece que cualquier información “específica del físico, fisiológico,
genético, mental, económico, cultural o social de esa persona” están bajo protección.
Dados estos amplios parámetros, es seguro asumir que cualquier cosa que identifique a una persona puede caer bajo la
definición de datos personales. Si no estás seguro de que cuenta, ¡probablemente sí! De hecho, la definición del GDPR de
información personalmente identificable es “cualquier información relacionada con una persona natural identificada o identificable.” Así que,
ahí lo tienes.
4. Cualquier entidad que controle y procese estos datos debe cumplir.
Los documentos actuales de GDPR hacen referencia a los colectores y procesadores de datos personales. ¿No estás seguro si eres un controlador o un procesador? Sigue leyendo.
Un controlador de datos es una entidad — un negocio, organización o individuo — que toma decisiones sobre qué datos se
recopilan y cómo se utilizan. Un procesador de datos recopila, almacena y transfiere esos datos una vez que se han recopilado. Por lo tanto, si
tu organización maneja cualquier tipo de datos de personas en la UE, o se asocia con una que lo hace, es hora de involucrarse.
5. Las nuevas leyes requieren consentimiento para recopilar datos.
Puede que hayas notado que muchos sitios web y aplicaciones han actualizado sus políticas de privacidad y términos de uso últimamente.
Todo eso es debido al GDPR. Si una organización espera que alguien en la UE visite su sitio web, la compañía necesita
incluir información solicitando consentimiento para recopilar datos del usuario.
Relacionado: Tu Lista de Verificación para Rediseño de Sitio Web 2020
Las políticas actualizadas deben incluir información sobre qué datos se recopilan, por qué se recopilan, cuánto tiempo
serán almacenados, así como cómo se utilizarán y quién tendrá acceso a los datos. Todo esto necesita ser declarado
claramente en el sitio web en un lugar notorio.
El cumplimiento del GDPR requiere un consentimiento activo — no métodos pasivos, como una casilla premarcada. El GDPR tendrá poca
tolerancia para prácticas de UX oscura que engañan
a las personas para que acepten o se inscriban en cosas o diseños de blogs deficientes que ocultan
información pertinente.
Estos avisos son necesarios incluso si se recopila el tipo más básico de datos. USA Today ha adoptado un enfoque interesante para el cumplimiento del GDPR al alojar dos instancias separadas de su sitio web — una para usuarios de la UE y otra para todos los demás. El sitio orientado a la UE no recopila ninguna información aparte de la dirección IP del usuario para poder dirigirlos al sitio correcto — pero USA Today aún tiene que notificar a los usuarios que la empresa está recopilando esa información.
6. Hay requisitos más estrictos para la seguridad de los datos bajo el GDPR.
En comparación con la legislación anterior de la UE sobre privacidad de datos personales (la Directiva de Protección de Datos, implementada en 1998), el GDPR tiene responsabilidades más prescriptivas para los controladores y procesadores de datos en lo que respecta a la seguridad.
Si estás manejando información personal identificable de las personas, necesitas realizar la debida diligencia para garantizar
que la información esté completamente protegida. Podría haber múltiples soluciones para esto, dependiendo de los datos que se recolectan,
las tecnologías disponibles y tu presupuesto. Algunas medidas de seguridad que el GDPR sugiere incluyen cifrar los datos,
asegurar que los sistemas y servicios permitan la confidencialidad, proporcionar la capacidad de restaurar el acceso a los datos personales,
y mantener un proceso para evaluar la seguridad del sistema.
Estas son solo algunas de las estrategias que las organizaciones pueden usar para demostrar que están cumpliendo con el GDPR. Puede que ya las hayas tenido en cuenta, o puede que tengas que añadir algunos componentes a tu plan de seguridad.
Con estos nuevos estándares, podrías preocuparte por el costo para tu negocio para cumplir. Sin embargo, la seguridad no tiene que ser costosa. Varios proveedores —incluido DreamHost— incluyen certificados SSL/TLS gratis para encriptar el tráfico web hacia los sitios de los clientes.
7. Las violaciones de datos deben ser reportadas a las personas cuyos datos fueron comprometidos.
Otro aspecto nuevo de las leyes de privacidad según lo establecido por el GDPR es la obligación de notificar a los usuarios cuando se ha producido una violación de datos y puede haber afectado su información personal. El GDPR define una violación de datos personales como un evento que conduce a “la destrucción, pérdida, alteración, divulgación no autorizada de, o acceso a, datos personales transmitidos, almacenados o de otro modo procesados accidental o ilegalmente.” Esto protege mucho más allá del riesgo de fraude o robo de identidad (que resultaría del acceso a registros financieros) para incluir el acceso no autorizado a cualquier cosa definida como información personalmente identificable.
Si ocurre una violación de datos personales que “probablemente resulte en un alto riesgo para los derechos y libertades de los individuos”,
los controladores de datos tienen la obligación de notificar rápidamente a las personas afectadas. Hay pocas excepciones a esta regla,
como cuando los datos cifrados serían ininteligibles para los usuarios no autorizados o cuando el controlador toma medidas después de
la violación para prevenir el riesgo. Los detalles de esta regla pueden estar abiertos a interpretación y discusión, pero en caso de
duda, el GDPR adopta una postura firme e integral sobre la protección de los datos de los usuarios.
Si el responsable del tratamiento tiene una oficina principal en la UE, también debe notificar a la autoridad de supervisión en el estado miembro de la UE donde se encuentra la organización. Esta comunicación debe realizarse dentro de las 72 horas desde que se identifica la violación.
Alojar el sitio web de su organización en un servidor seguro y estable ayuda a prevenir violaciones de datos personales. Los planes de DreamHost cuentan con una seguridad de primera a través de certificados SSL/TLS de Let’s Encrypt, que cifran de manera segura los datos que viajan a través de un sitio de DreamHost.
Si estás escogiendo entre
Shared Hosting y VPS Hosting puedes estar seguro de que la información personal identificable está protegida. Nuestros planes de hosting dedicados mantienen los datos personales bajo un resguardo aún más estricto.
8. Los controladores de datos deben dar acceso a los usuarios a sus datos cuando lo soliciten.
El significado de este aspecto del GDPR es claro: si un usuario desea ver los datos que has recopilado sobre
él, debes entregárselos en un plazo razonable de tiempo. Sin embargo, el camino para lograr esto puede ser un poco más
sinuoso, dependiendo de tus circunstancias actuales.
Para conceder estas solicitudes, necesitará un sistema para que los clientes envíen solicitudes y personal que pueda cumplirlas.
También será necesaria tecnología que permita la exportación de datos personales. En el Artículo 15, el GDPR describe varios otros derechos relacionados con
la información, como quién tiene acceso a los datos y cuánto tiempo se almacenarán.
9. Los usuarios en la UE tienen “el derecho al olvido”.
Otra disposición relacionada con el acceso a los datos es lo que el GDPR llama “el derecho al olvido.” En el Artículo 17, se otorga a los ciudadanos el derecho a solicitar que sus datos sean eliminados del sistema del controlador. Pueden hacerlo por cualquier número de razones, que incluyen la retirada del consentimiento para procesar los datos.
La ley se interpreta como si pudiera haber alguna razón legítima para solicitar el borrado de datos personales. Sin embargo,
proporciona orientación sobre cuándo una organización podría negar tal solicitud. Si el procesamiento de los datos se considera necesario para
“ejercer el derecho de libertad de expresión e información”, cumplir obligaciones legales o establecer reclamaciones legales, o servir al interés público de ciertas maneras, una organización no necesita cumplir.
10. El Brexit no excluye al Reino Unido del GDPR — todavía.
El RGPD sigue aplicándose a las empresas en el Reino Unido, a pesar de la inminente salida del país de la UE. Una vez que el Brexit
se formalice, el RGPD ya no regirá la seguridad de los datos británicos. Sin embargo, la Ley de Protección de Datos del país es casi idéntica al RGPD — hasta la misma fecha de inicio del 25 de mayo. Si estás
cumpliendo con el RGPD, también deberías estar cubierto con la ley del Reino Unido.
11. Violar los términos del GDPR conlleva un precio elevado.
No intentes evadir o ignorar el GDPR — te costará. Las penalizaciones más altas por incumplimiento incluyen multas de hasta €20 millones (más de $23 millones) o el 4 por ciento de los ingresos globales, lo que sea mayor. Este nivel de castigo estaría reservado para los peores infractores, pero no vale la pena averiguar cómo se manejarán las faltas menores.
Además de tomar su dinero, las autoridades de protección de datos de la UE también podrían quitarle algunos privilegios de recolección de datos
a su empresa, o incluso prohibirle recolectar datos por completo. ¡Simplemente haga lo correcto!
12. El énfasis de las nuevas normas es el uso legal y el comercio justo.
El RGPD tiene como objetivo unificar las regulaciones de datos de todos los estados miembros de la UE. Con las nuevas leyes, las reglas son más claras
y el campo de juego es más nivelado en cómo las empresas de la UE manejan la recopilación y uso de datos personales. Al mismo
tiempo, supone una presión para las empresas de otros países para cumplir con estas normas.
Sin embargo, el impulso por la seguridad y la transparencia podría ser bueno para los negocios a largo plazo, y todo tiene que ver con
la percepción del cliente. En los últimos años, ha habido un aumento en las violaciones de seguridad de datos, así como una mayor publicidad en torno a la
recopilación y uso de los datos de las personas.
En esta era del intercambio de datos, el GDPR también tiene como objetivo aumentar la confianza de los ciudadanos en las empresas al ofrecerles
mayores protecciones. Las regulaciones son ampliamente consideradas un triunfo para los derechos de privacidad individuales. Pero aunque
pueda ser doloroso tener que actualizar los avisos de privacidad — y posiblemente cambiar las políticas de uso de datos en tu empresa — el
GDPR tiene el potencial de dar a los clientes mayor confianza en el comercio. La filosofía, en resumen, es que lo que es
bueno para el cliente es bueno para el negocio.