GDPR: Nueva ley de protección de datos para internautas
¿Qué es el GDPR?
El GDPR (General Data Protection Regulation, por sus siglas en inglés) es una nueva ley que regula la protección de datos e información de internautas en la Unión Europea y que entrará en vigor a partir de mayo de este año.
Las nuevas regulaciones aplicarán para cualquier negocio y persona que navegue en la red, así como cualquier empresa que tenga negocios con empresas europeas, aunque no formen parte del territorio. Por lo tanto, es un tema que no solo se queda del otro lado del mundo, es una ley que te puede afectar y que, con el paso del tiempo, autoridades estadounidenses o mexicanas puedan decidir adoptarla de alguna forma, por ejemplo en México.
Antecedentes: Ley de Cookies
La ley de cookies es un antecedente y una de las primeras regulaciones en cuanto al manejo de datos en internet. Si alguna vez entraste a páginas en línea y leías un aviso con letras pequeñitas donde te avisaban que el sitio al que acababas de acceder usa «cookies» para su mantenimiento o por cualquier otro motivo, era gracias a esta ley.
Consiste en que los sitios web están obligados a avisarte que ellos utilizan cookies que instalan en tus navegadores para conocer más de ti (de sus usuarios en general que visitan su página) y así poder ofrecer un mejor contenido o aplicar mejor su publicidad en línea.
Realmente los motivos para los que requieren esta información son variados y ellos están en la obligación de decirte para que los utilizan, qué datos extraen de tu navegador y, además, en todo momento puedes negarte a esto o aceptarlos. Muchos sitios dan por hecho de que si continúas navegando por su página has aceptado los términos que generalmente adjuntan en una página de políticas de privacidad.
Recuerda que en México es necesario contar con un aviso de privacidad donde se definen los derecho ARCO y el manejo de información sensible que los usuarios comparten con la empresa por cualquier medio, y este debe estar disponible en el sitio web de la organización. Para conocer más acerca de como hacer el aviso de privacidad sigue este artículo.
Implementaciones y cambios con la nueva ley GDPR
Esta nueva regulación marca grandes diferencias y cambios para toda empresa que tenga su sitio en línea y por supuesto, los negocios que laboran completamente en Internet.
El principal motivo es brindarles a todas las personas el control del manejo de sus datos personales en línea, por lo tanto, obliga a las empresas a que cambien el enfoque que tienen sobre la privacidad de la información de sus usuarios.
Ahora, entiéndase como usuario cualquier persona que navegue por la página, deje un comentario, le de click a cualquier enlace que exista, llene sus datos en algún formulario, etc. Se considera usuario a la persona que llega a tener cualquier interacción con el sitio. Es por eso que, aunque tu no formes parte de la Unión Europea, si tienes algún tipo de contacto con un sitio web de esos lugares, tienes derecho a solicitar el cumplimiento de esta ley.
En realidad, son demasiados datos generados que se tienen que estar analizando constantemente para ofrecer el servicio correspondiente. Esto obligara a las empresas a implementar y desarrollar un área o puesto que se dedique exclusivamente a esto: análisis de datos.
El principal trabajo de estos nuevos analistas será observar y procesar los siguientes puntos:
*Datos personales: Es cualquier dato directo de la persona como su nombre, genero, edad, correo electrónico, lugar de residencia, etc.
*Procesamiento de datos personales: Se refiere al seguimiento, proceso o almacenamiento que se les da a esos datos personales recabados.
En caso de sufrir algún robo de información, las empresas están obligadas a informar a las autoridades y a cada usuario lo acontecido.
A grandes rasgos, la ley trata de estos siguientes puntos:
*El derecho de acceso: Exige a las empresas transparencia frente a los usuarios con el procesamiento de sus datos, cómo y porque se almacenan, y el uso que se les dará. Así mismo, cualquier persona pueden solicitar una copia de su información sin ningún costo en los siguientes 40 días hábiles de su petición.
*El derecho de olvido: El usuario puede decidir en el momento que guste que sus datos personales sean borrados de la base de la empresa y les revoca el derecho de uso continuo de los mismos.
*Cláusula de portabilidad de datos: Los usuarios pueden descargar los datos que le han proporcionado a la empresa en cualquier momento para su uso personal.
Documento de tratamiento de datos.
Las empresas que recaban datos debes contar con un documento interno de la empresa que detalla los siguientes:
- Declarar con que fin se utilizan los datos
- Informar que medidas de seguridad estamos aplicando a los distintos tratamientos.
- Cuanto tiempo guardamos los datos.
- Se evalua las medidas de seguridad y como se guarda los datos.
¿Si tengo un sitio web o blog donde entra esta política de privacidad?
Donde se recaban datos, en un sitio web o blog suelen ser los siguientes:
- Formularios de contacto
- Comentarios dentro de un post de blog
- Suscripciones de mailing o newsletters (como mailchimp, constantcontact entre otros)
Como vemos, contiene reglas mucho más estrictas y restrictivas que la ley de cookies. Si los sitios no llegan a cumplir con esta ley, las sanciones van desde los 20 millones de euros hasta el 4% de ingresos anuales de una empresa. Por eso, no es motivo de juego y debemos de estar al pendiente de las actualizaciones o cambios entorno a esta ley.
Aunque esto no afectará de manera directa a todas las empresas mexicanas, estaremos viendo un cambio y sus reacciones, tanto en el público (principalmente europeo) como en las empresas. Este es el inicio de un largo camino por regular el manejo de datos y ofrecer más seguridad a cualquier persona que navegue por la red.
Si tienes un formulario de contacto en tu sitio debes contemplar tener las siguientes:
1.- Recabar solamente los datos necesarios (si el tipo de sangre no es relevante ¿para qué tener esa información de tu prospecto?)
2.- Tu formulario debe contener un check box para dejar un registro de evidencia donde el usuario accede a compartir sus datos y acepta haber leído la política de privacidad y términos y condiciones. Si utilizas un sistema de base de datos para guardar esta información también que quede registrado la aceptación de términos por medio del check-box.
3.- Poner una liga hacia la política de privacidad y términos y condiciones.
4.- Mencionar la política GDPR
Aquí un ejemplo de ese párrafo:
«De acuerdo con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, (el nombre de la empresa del sitio web) le informa que los datos personales que figuran en el presente documento van a ser incorporados a un fichero debidamente comunicado a la Agencia de Protección de datos, en el cual se han adoptado las medidas de seguridad correspondientes. Al proporcionar estos datos autoriza expresamente a esta entidad al tratamiento de los mismos para la prestación de los servicios contratados. Usted puede ejercer sus derechos de acceso, rectificación, cancelación y oposición dirigiéndose a el [email protected] «
Deja una respuesta