Tratamiento de datos y responsabilidades personales
Foco 4: tratamiento de datos y responsabilidades personales
¿Qué sucede si compramos un producto en un sitio de comercio electrónico y al día siguiente nos damos cuenta de que nuestra tarjeta de crédito se ha quedado sin saldo? ¿Cómo se gestionan nuestras preferencias y por tanto nuestros datos cuando accedemos a navegar por una web o blog? Y de nuevo: ¿a quién confiamos realmente la información personal una vez que se ha completado un formulario de contacto? Intentaremos responder a estas y otras preguntas en este cuarto e. última idea dedicada a la seguridad de la información en la era digital. Sí, porque el procesamiento de datos va de la mano con las responsabilidades personales de los administradores del sitio, es decir, las personas que poseen un sitio o un proyecto digital. La situación siempre ha estado fragmentada, al menos hasta hace unos años. El cambio de época se produjo en 2018, con la llegada de Reglamento General de Protección de Datos, También conocido como RGPD. Comencemos desde este punto y veamos cómo configurar una política de administración de datos de manera eficiente.
EL RGPD EUROPEO Y EL ÁMBITO DE APLICACIÓN REAL
Imposible no haber oído hablar nunca del Reglamento General de Protección de Datos, oficialmente el reglamento (UE) n. 2016/679. En funcionamiento desde hace dos años, el RGPD ha marcado el comienzo de una nueva era, elevando el nivel de protección del usuario con respecto al procesamiento de datos personales por parte de sitios web, blogs, ecommerce y espacios virtuales en general (foros, landing pages, plataformas de video streaming, buscadores, etc.). Hablar en pocas líneas sobre este instrumento legislativo ilimitado y en parte ambiguo es una misión imposible, pero es nuestro deber proporcionar algunas pautas útiles para arrojar luz sobre un tema tan vasto y complejo. Primero, veamos los aspectos más destacados del RGPD, sin embargo, tratemos de comprender cuál es su verdadero ámbito de aplicación.
¿Qué países están afectados por el RGPD?
Cada país en el que opera una organización que se dirige a ciudadanos de la UE a través de la web y procesa ciertos datos personales es un país en el que el RGPD tiene derecho a aplicarse. Esta es la conclusión a la que se llega al sumar las áreas especificadas por el RGPD. De ello se puede deducir que prácticamente todas las empresas y profesionales que tienen relaciones con la Unión Europea, desde Suiza a los Estados Unidos de América y muchos otros, deben cumplir con la normativa. Para más información al respecto te recomendamos leer esta guía completa del RGPD.
Suponiendo que el RGPD tenga valor legal tanto en Suiza como en el resto de Europa, veamos punto por punto i principales aspectos a tener en cuenta interpretar correctamente el reglamento y aplicarlo en consecuencia.
- cada usuario que visite su sitio debe confirmar su consentimiento para el procesamiento de datos. El consentimiento debe ser libre, específico, informado y revocable en cualquier momento
- en ausencia de consentimiento, se asume que los datos NO se recopilarán o que se impedirá la visita al sitio
- los consentimientos deben ser archivados y memorizados, para que siempre puedan ser encontrados por cualquier agente y autoridad estatal
- el registro de consentimiento debe contener una serie de datos imprescindibles, como el momento en que se prestó el consentimiento
- el consentimiento no es la única base legal posible, sino una de las 6 que proporciona el RGPD. Sin embargo, en muchas situaciones y para muchas empresas, el consenso sigue siendo el camino más fácil.
LA DIRECTIVA DE PRIVACIDAD ELECTRÓNICA (LEY DE COOKIES)
El RGPD no es la única referencia a observar. La Directiva 2009/136/CE (también conocida como Directiva ePrivacy) es la segunda herramienta fundamental para la correcta gestión de los datos personales. legislación específica las reglas para el uso de cookies de terceros dentro de su propio espacio virtual, o más bien los requisitos que permiten la activación de cookies en la primera visita de un nuevo usuario. De nuevo, el principio se basa en la máxima protección, ofreciendo al usuario la plena opción de rechazar el acceso de cookies a sus datos con un simple clic. Como veremos en el último párrafo, el administrador y por tanto el gestor del sitio web debe proporcionar al usuario un sistema, típicamente un banner, para aceptar o rechazar el acceso de cookies.
Algunas cookies están exentas de este tipo de consentimiento, pero es muy probable que un sitio de presentación comercial albergue al menos un token digital o cookie. La política de privacidad debe informarse en un documento específico, y esto también se aplica a la política de cookies. En este momento se está discutiendo la directiva ePrivacy, o ley de cookies, porque las intenciones de los legisladores apuntan a la transición a lo que será el Reglamento ePrivacy, operando en concierto con el RGPD. Con toda probabilidad, sin embargo, no habrá cambios significativos en las disposiciones, por lo que es bueno ahora mismo adaptarse y llegar preparados para la aprobación del reglamento, destinado a oficializarse dentro de unos años.
LA LEY DE PRIVACIDAD DEL CONSUMIDOR DE CALIFORNIA (CCPA)
La Ley de Privacidad del Consumidor de California entró en vigor el 1 de julio de 2020, una de las formas de protección más estructuradas aprobadas actualmente en los Estados Unidos, así como directriz de referencia para cada estado de EE. UU. fuera de California. Como es el caso de Europa con el RGPD, la CCPA también tiene enormes repercusiones para los EE. UU., como para ir más allá de las fronteras del propio país. Si bien no es tan restrictiva, la CCPA también puede tener un impacto real en su negocio con sede en Suiza o en cualquier otro país. Las condiciones que debe cumplir, además de dirigirse a los ciudadanos de California, incluyen:
- tener ventas brutas anuales superiores a $25 millones; o
- que al menos el 50% de su facturación provenga de la venta de datos personales
o
- comprar, recibir, vender o compartir la información personal de 50.000 o más consumidores cada año con fines comerciales.
¿Difícil? No exactamente. Dado que las direcciones IP son datos personales, es probable que cualquier sitio web que en un año obtener de California 50.000+ los visitantes únicos están dentro del alcance de la CCPA. Este es solo un ejemplo de cómo la globalización, también y sobre todo la tecnología de la información, ha creado ahora conexiones e interdependencias entre las legislaciones nacionales.
CÓMO CUMPLIR LAS DIRECTIVAS DE DATOS
A la luz de lo que se ha escrito hasta ahora, la adaptación a las directivas nacionales, europeas e internacionales ciertamente no es una tarea accesible sin hacer uso de las herramientas adecuadas. No es casualidad que se hayan desarrollado en los últimos años. plataformas enteras diseñadas para gestionar obligaciones del RGPD (y no solo) con un enfoque rápido, práctico y parcialmente automático. El administrador del sitio web, es decir, el propietario de la organización, el web master o la agencia que sigue el proyecto, solo debe registrarse en estas plataformas y completar los datos requeridos por el sistema (propietario de los datos, url del sitio, etc.). En este punto, el software y el complemento relacionado mostrarán a los usuarios el banner que resume los términos y condiciones de seguimiento de datos y activación de cookies.
Las mismas plataformas, al menos las más famosas, pueden generar documentos de políticas de privacidad, políticas de cookies y términos y condiciones, con un texto preformateado que solo necesita completar y personalizar según sea necesario. Entre los nombres de las plataformas más exitosas mencionamos sin ningún orden en particular la italiana Iubenda, la estadounidense Quantcast o la danesa Cookiebot, cada una especializada en un reglamento o conjunto de reglamentos. Las soluciones proporcionadas son gratuitas. pero en este caso tienen una funcionalidad limitada. Por ello, desde Innovando recomendamos elegir el plan que mejor se corresponda con el tamaño y métodos efectivos de recogida de datos de la organización, evitando así cualquier hipótesis delictiva. No juegas con los datos del usuario, especialmente porque las sanciones, en caso de incumplimiento, pueden ser muy, muy salados.
Esperamos haberte dado toda la información que necesitas. Si no es así, póngase en contacto con nosotros sin compromiso para una asesoramiento gratuito y personalizado sobre protección de datos.
También te puede interesar:
Cuatro países, un océano gigantesco: el caso CMAR
Es el corredor marino del Pacífico tropical oriental: Panamá, Ecuador, Colombia y Costa Rica aliados para la protección de los mares y las especies marinas...
Lausana, tras la pista de la contaminación: la historia de una incineradora
Un equipo de científicos ha reconstruido los acontecimientos de la central de valorización energética de Vallon y la contaminación invisible que conmocionó al cantón de Vaud
Cómo el medio ambiente determina las características del queso
La cata destaca cómo, sin cambiar las reglas de producción, el clima y los cultivos forrajeros influyen en las diferentes notas organolépticas.
Innosuisse ha alcanzado sus objetivos de innovación para 2023 en Suiza
Se ha destinado una cantidad récord de más de 490 millones de francos para compensar la falta de asociación con el conocido programa de la UE Horizonte Europa.
//