GDPR o el Reglamento General de Protección de Datos (GDPR) tiene como objetivo armonizar los flujos de datos entre todos los estados miembros y reforzar los derechos que tienen los ciudadanos de la UE sobre sus datos conservados y procesados por las organizaciones. Antes de su implementación, el uso indebido de los datos de una persona se castigaba con una tarifa relativamente nominal de 500.000 libras esterlinas. Ahora es posible imponer multas gigantescas: las empresas declaradas culpables de mal uso de datos pueden recibir multas de hasta 20 millones.
Ya puedes darte cuenta de la importancia de cumplir con las directrices del RGPD y es especialmente importante para tu sitio web. En este blog, analizaremos 9 pasos útiles que garantizarán que su sitio web cumpla con el RGPD.
1. Establece de dónde provienen tus datos y cómo tratarlos
Sólo para indicar datos personales se define como cualquier información que pueda utilizarse directa o indirectamente para identificar a una persona. Podría ser un nombre, una foto, un correo electrónico, una dirección bancaria, una dirección IP de computadora, publicaciones en redes sociales y más.
Su punto de partida es saber de dónde provienen los datos y qué hacer con ellos. Los datos se pueden recopilar a través de Google Analytics y rastreadores de ubicación GPS, así como también mediante correo electrónico. A continuación, busque dónde se almacena la información y quién tiene acceso a ella.
A continuación es necesario definir los procedimientos para lo siguiente
- ¿Qué hacer si alguien quiere que se borren sus datos?
- Demostrar que alguien le ha dado su consentimiento
- Qué hacer si sufres una filtración de datos
Debe pensar en el tipo de datos que recopilará. Si estás preguntando sobre la comida favorita de alguien y no eres un negocio de alimentos, eso te lleva al territorio de la información innecesaria. Es importante saber que los datos que recopile deben tener una "base legal", que puede ser una o más de las siguientes.
- Intereses legítimos
- Tareas públicas
- Intereses vitales
- Obligación legal
- Contrato
- Consentir
Asegúrese de que puede manejar las solicitudes de eliminación o modificación de los datos de una persona.
2. Hacer que los correos electrónicos de marketing por correo electrónico cumplan con el RGPD
La mayoría de las empresas se aventurarán a utilizar el marketing por correo electrónico como estrategia empresarial. La consideración más importante aquí, como en cualquier área del RGPD, es el consentimiento.
Debe poder demostrar que un usuario o cliente le ha dado su consentimiento para enviarle correos electrónicos de marketing por correo electrónico. Esto incluye a todos en su base de datos de correo electrónico.
Además de obtener el consentimiento de todos, debe facilitarles la opción de no participar. Esto podría incluir cosas como un enlace para cancelar la suscripción en la parte inferior de los correos electrónicos.
3. Perfeccione sus formularios de suscripción
Los formularios de suscripción serán sus formularios de registro, ventanas emergentes/banners de cookies y política de privacidad. Es necesario que los formularios de suscripción no estén marcados previamente: los usuarios deben marcar la casilla activamente ellos mismos. Etiquete la casilla de verificación de una manera que no resulte confusa.
En el caso de que alguien se suscriba accidentalmente, puede optar por una opción de doble suscripción. Esto podría ser una casilla de verificación para registrarse en su lista de marketing por correo electrónico y un correo electrónico de seguimiento para confirmar.
Asegúrese de controlar la automatización de sus campañas de correo electrónico para que, si alguien que ha optado por no recibir una, pueda recibir una penalización.
4. Escribe una política de privacidad.
Estoy seguro de que la mayoría de las personas han visto descripciones de políticas de privacidad en varios sitios web. Una política de privacidad describe cómo se recopila y divulga información sobre un usuario. Debe aclarar qué es confidencial o se comparte con otras empresas, investigadores o vendedores.
Debe indicar qué información personal recopila, cómo la recopila, la utiliza y si la comparte o vende. Tenga en cuenta que cuantos más datos solicite y almacene, más difícil será redactar una política de privacidad.
A continuación, explique a los usuarios que sus datos se almacenan de forma segura. Describir los derechos de los usuarios, incluida la modificación de sus datos, la eliminación de datos y la eliminación de sus datos previa solicitud.
Al actualizar la política de privacidad, asegúrese de notificar a los usuarios. Mantiene a los usuarios actualizados y le ayuda a permanecer transparente.
5. Redactar una política de cookies y crear una ventana emergente/banner
Una cookie es un archivo que se guarda en su dispositivo y almacena el nombre del sitio web, brindándole una identificación única para demostrar que ha estado allí antes. Puede almacenar cuánto tiempo ha estado en un sitio web, en qué enlaces hace clic y más. Cuando vuelvas a visitar un sitio, te recordarán y te brindarán una experiencia más personalizada.
Para ayudar a crear una política de cookies, indique a los usuarios qué tipo de cookies está utilizando, cómo las está utilizando y cómo pueden controlar la forma en que se gestionan las cookies.
También debe asegurarse de tener una casilla de verificación de participación aquí también, lo que nuevamente permite a los usuarios optar por no participar fácilmente si lo necesitan.
Su notificación emergente/banner confirma el consentimiento y debe ser fácil de entender con un enlace a su política de cookies completa.
6. Protégete de las filtraciones de datos
En algunos casos, hemos visto grandes empresas verse afectadas por una filtración de datos, lo que podría hacerte pensar si ellos no pueden detenerla, ¿por qué yo no? Bueno, existe la frase nunca digas nunca, sin embargo, hay algunos buenos pasos que puedes seguir para asegurarte de haber hecho lo máximo que puedes.
Puede proteger los datos cifrándolos, restringiendo las políticas de uso compartido y retención de datos, minimizando la cantidad de datos que posee y maximizando la privacidad del usuario como estándar. Para protegerse aún más de los piratas informáticos, no puede almacenarlo en múltiples dispositivos y programas y verificar que solo los miembros autorizados del personal puedan acceder a él.
También es necesario realizar evaluaciones de impacto sobre la privacidad (PIA) si hay cambios en la empresa, como una adquisición de negocio, un nuevo sistema de TI o un nuevo sistema de vigilancia.
Contacta con ICO dentro de las 72 horas siguientes a tener conocimiento de la infracción y notifica a todos los clientes que puedan haberse visto afectados lo antes posible.
7. Capacite a su personal
El personal debe tener formación y concienciación sobre el RGPD. Esto se podría hacer contratando a alguien para que dirija la capacitación o brindando a los empleados un curso de capacitación en línea con un cuestionario.
8. Configure una carpeta de cumplimiento del RGPD
Aquí es donde puede demostrar cómo obtuvo permiso para recopilar los datos personales de alguien, para qué los usa y cómo los mantiene seguros. Es el lugar para almacenar formularios de suscripción, políticas de privacidad, ventanas emergentes y otras formas en que los usuarios han participado activamente para darle su consentimiento.
En tu carpeta, debes incluir:
- El nombre y dirección del responsable del tratamiento
- El nombre de su delegado de protección de datos (si lo necesita)
- Un registro que muestra cómo su empresa procesa los datos personales y qué hace para protegerlos.
- Plantilla de evaluación del impacto de los datos personales
- Avisos de privacidad
- Política de retención de datos
- Procedimiento para solicitudes de acceso a sujetos
- Respuestas a las violaciones de datos
- Un registro de violación de datos
- Una plantilla de notificación para la Oficina del Comisionado de Información (ICO) en caso de que necesite informar una infracción
- Registros de formación del personal.
- Procesadores de terceros y copias de sus contratos.
Toda la carpeta debe almacenarse en el sistema de archivos de la empresa y estar lista para enviarse a ICO en poco tiempo.
9. Cree revisiones periódicas de los datos que posee
Observe si puede estar reteniendo más información de la que necesita y, de ser así, deshágase de ella.
