Inicio/Guías de comercio electrónico/GDPR: Una guía para…

'GDPR: A Guide for Ecommerce' es un libro electrónico gratuito de 40 páginas que cubre las áreas clave que cualquier persona que trabaja en el comercio electrónico, o en las periferias del comercio electrónico y el marketing digital, debe ser informado sobre el Reglamento General de Protección de Datos.

La guía está escrita por Heather Burns (especialista en derecho digital y políticas, disponible para trabajar en https://webdevlaw.uk/), y Dan Barker (especialista en comercio electrónico, que trabaja en el área durante 20 años, hasta CMO & board level).

Gran parte de la literatura relacionada con el RGPD tiende a caer en uno de los dos cubos:

  • Extremadamente alto nivel – entradas cortas de blog, infografías, etc.
  • Extremadamente granular – por ejemplo. El propio texto del reglamento.

Esta guía de 40 páginas tiene como objetivo llenar el vacío entre estos extremos y, aunque sería útil para la mayoría de los lectores, tiene como objetivo cubrir áreas más específicas para las empresas de comercio electrónico.

La guía es completamente gratuita. Simplemente le preguntamos, si lo encuentra de valor, por favor comparta el enlace a esta página con su audiencia o colegas, ya sea en Twitter, LinkedIn, a través de su sitio, o por correo electrónico.

[mks_button size=»large» title=»Download the complete guide now in PDF Format» style=»rounded» url=»https://bit.ly/ecomgdprpdf» target=»_self» bg_color=»#7a42de» txt_color=»#FFFFFF» icon=»fa-arrow-circle-o-down» icon_type=»fa» nofollow=»0″ ]

[mks_button size=»large» title=»Download the complete guide now in PDF Format» style=»rounded» url=»https://bit.ly/ecomgdprpdf» target=»_self» bg_color=»#7a42de» txt_color=»#FFFFFF» icon=»fa-arrow-circle-o-down» icon_type=»fa» nofollow=»0″ ]

 

Introducción

Esta guía tiene como objetivo ayudar a las empresas de comercio electrónico a comprender uno de los requisitos legales más importantes, pero más confusos, que han entrado en vigor desde que el comercio minorista en línea despegó: gdpR, el "Reglamento general de protección de datos".

Es probable que haya leído algunos de los detalles de perfil más altos del RGPD (ha sido difícil de perder): El hecho de que se aplica a cualquier empresa que se ocupa de cualquier dato relacionado con los clientes de la UE o del Reino Unido; el nivel máximo de multas de hasta 20 millones de euros, o el 4 % del volumen de negocios global anual (en lo que sea superior) para las empresas que infrinjan el Reglamento.

También puede haber leído las guías generales sobre el RGPD. Mientras que las guías generales tienden a cubrir todas las áreas del RGPD a un nivel extremadamente alto, esta guía tiene como objetivo tomar los elementos más importantes de la regulación para las empresas de comercio electrónico, dándole una visión general y una comprensión de cómo se asigna a su negocio, y sus responsabilidades.

La mayoría de la literatura relacionada con el RGPD tiende a caer en uno de los dos cubos:

  • Extremadamente alto nivel – entradas cortas de blog, infografías, etc.
  • Extremadamente granular – por ejemplo. El propio texto del reglamento.

Esta guía tiene como objetivo llenar el vacío entre estos extremos y, aunque sería útil para la mayoría de los lectores, tiene como objetivo cubrir áreas más específicas para las empresas de comercio electrónico.

Acerca de the Authors

image2Heather Burns es especialista en derecho digital y política tecnológica. Ayuda a los profesionales digitales a conocer las regulaciones tecnológicas y los problemas políticos, especialmente aquellos que afectan el diseño y desarrollo web. Puede contratarla para investigar, hablar, escribir o consultar en webdevlaw.uk o en Twitter en @webdevlaw
image3Dan Barker ha trabajado en comercio electrónico durante 20 años. Ha trabajado para más de 100 marcas, desde proyectos cortos de consultoría hasta puestos de CMO y de juntas directivas. Puede encontrar más información sobre él en barker.co.uk o en Twitter en @danbarker

Acerca de EcommerceGuide.com

EcommerceGuide.com ofrece información y orientación relacionada con todos los aspectos del comercio electrónico. El sitio cuenta con una gama de guías, junto con la cuenta de Twitter independiente más grande dedicada al comercio electrónico, con decenas de miles de seguidores en: @ecommerce.


¿Qué es el RGPD?

A pesar de mucha cobertura, todavía hay un conocimiento de muy bajo nivel en torno a lo que es específicamente GDPR, y de dónde proviene.

En resumen: GDPR es una actualización completa y revisión del régimen de protección de datos de la UE existente, es decir. Es una actualización de trabajos anteriores, no algo completamente nuevo – que data de 1995. Sus disposiciones afectan a los países de la UE y a cualquier empresa que venda a un país de la UE.

Incluso el Reino Unido, donde hay mucha confusión sobre lo que significa el Brexit desde un punto de vista legal, el único punto de seguridad jurídica es el RGPD: llevará a cabo la transición del Reino Unido fuera de la Unión Europea y más allá.

El 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) de la UE, sucesor de la Ley de Protección de Datos, se hizo exigible en toda Europa, incluido el Reino Unido.

Las nuevas reglas

Para las empresas de comercio electrónico, las nuevas reglas significarán un nuevo conjunto de reglas a seguir, que afectan en su principal las cuatro prácticas relacionadas con los datos:

  1. Los datos que recopile;
  2. Las formas de utilizar los datos;
  3. Las formas de almacenar los datos; Y
  4. Las formas de compartir los datos.

La Ley de Protección de Datos, el RGPD y los "Datos Personales"

El RGPD sustituye al régimen de protección de datos existente, la Directiva de protección de datos de la UE de 1995. (En el Reino Unido esto se conocía como la Ley de Protección de Datos de 1998, el año en que se le dio el "Consentimiento Real" en el Reino Unido, antes de entrar en vigor en 2000).

Aunque ha habido muchos cambios en áreas específicas de la ley de datos desde entonces, GDPR es con mucho la actualización más significativa después de la Directiva de Protección de Datos de hace más de 20 años.

Datos personales

El RGPD, y los principios de la UE de protección de datos y privacidad en general, se refieren a lo que ellos (y nosotros) denominamos "datos personales".

Los datos personales, para nuestros fines, se refiere a información sobre una persona viva que podría ser identificada a partir de esos datos, ya sea por sí mismo o cuando se combina con otra información. El RGPD define oficialmente los datos personales como:

"cualquier información relacionada con una persona física identificada o identificable."

Para una empresa de comercio electrónico, es probable que eso signifique lo siguiente: Los registros de sus clientes, la información recopilada en relación con clientes potenciales reconocibles y los datos que las personas generan utilizando o accediendo a sus sitios web, aplicaciones y otros servicios, son datos personales.

Vale la pena saber que, en términos del RGPD, los "datos personales" son más amplios de lo que algunas empresas pueden autodefinirse. Por ejemplo, las direcciones IP y los identificadores de cookies se mencionan específicamente:

"Las personas físicas pueden estar asociadas con identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo sin Internet, identificadores de cookies u otros identificadores, como etiquetas de identificación de radiofrecuencia.

Esto puede dejar rastros que, en particular cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de las personas físicas e identificarlas."

En respuesta a esto, Google, por ejemplo, ha producido una "política de consentimiento de usuarios de la UE" que notifica a los anunciantes que deben obtener el consentimiento para "la recopilación, el intercambio y el uso de datos personales para la personalización de anuncios". En otros lugares, definen la publicidad personalizada como "funciones de segmentación, como remarketing, audiencias de afinidad, audiencias de afinidad personalizadas, audiencias en el mercado, audiencias similares, segmentación demográfica y de ubicación y segmentación contextual de palabras clave".

Datos personales confidenciales

Más allá de los datos personales también hay datos personales sensibles, que se definen como cualquier información relativa a una persona:

• Origen racial o étnico

• Opiniones políticas

• Creencias religiosas o filosóficas

• Afiliación sindical

• Datos de salud

• Vida sexual u orientación sexual

• Condenas penales pasadas o gastadas

Los datos personales confidenciales requieren una curación más estricta, y la pérdida o violación de dichos datos con razón conlleva castigos más estrictos.

Tipos ampliados de datos personales

GdpR amplía la definición de datos personales de la norma de 1995 para incluir:

  • Datos genéticos
  • Datos biométricos
  • Datos de ubicación
  • Identificadores en línea

El tratamiento de datos personales sensibles debe cumplir al menos una de las siguientes condiciones:

  • El consentimiento explícito del interesado;
  • El tema ha hecho pública expresamente su información (como un blog político);
  • Los datos son necesarios para fines religiosos o sindicales;
  • Ciertas razones de salud;
  • Los datos son necesarios para el empleo, la protección social, una reclamación legal o un interés público similar;
  • Ciertas razones de archivo.

Los principios de protección de datos de 1995 establecieron que los datos personales deben ser:

  • Procesado de una manera justa y lícita;
  • Se utiliza sólo para la forma en que se pretendía utilizar;
  • Procesado de una manera adecuada, pertinente y no excesiva;
  • Preciso y actualizado;
  • No se conserva durante más tiempo que su propósito;
  • Procesados de acuerdo con los derechos de las personas de las que se trata el dato;
  • Protegido por medidas de seguridad técnicas y organizativas;
  • No se transfiere a terceros países fuera de la UE que no garantizan una medida adecuada de protección de datos.

El RGPD continúa con estos principios, los amplía y añade responsabilidades adicionales.

A quién afecta el RGPD

Si hace negocios en el Reino Unido o en todo el continente europeo, el RGPD y sus requisitos se aplican a usted y a su trabajo Como ejemplo, si su empresa se encuentra geográficamente dentro de los Estados Unidos, pero proporciona funcionalidad de comercio electrónico a los clientes en el Reino Unido o la Unión Europea, el RGPD se aplica a esos elementos de su negocio.

La ley de protección de datos se aplica a todos los datos personales sobre las personas recopiladas o procesadas en Europa, independientemente de la nacionalidad o ciudadanía de esas personas. Se aplica tanto si los datos se almacenan en papel como si se almacenan electrónicamente.

La ley de protección de datos también se aplica en todos los sectores, industrias y situaciones.

No hay un tamaño mínimo que una empresa debe tener antes de que se aplique la ley; comerciantes únicos deben trabajar según las directrices de la misma manera que las grandes corporaciones.

En el período anterior al RGPD, muchos grupos industriales y organismos comerciales están elaborando directrices para sus miembros que van más allá de la línea de base exigida por la legislación. Si pertenece a una industria organizada, consulte con su organismo de la industria.

GDPR & Brexit

Ya hemos discutido cómo el RGPD seguirá siendo la ley y el estándar a alcanzar durante al menos varios años para llegar a través de la UE. La pregunta que sigue es qué pasará con la ley de protección de datos en el Reino Unido en los años posteriores al Brexit.

En septiembre de 2017, el Parlamento comenzó a redactar un proyecto de ley de protección de datos que podría constituir el puente entre el RGPD y cualquier régimen de privacidad futuro. Como se detalla en el Discurso de la Reina de 2017, el proyecto de ley "garantizaría que nuestro marco de protección de datos sea adecuado para nuestra nueva era digital y consolidara la posición del Reino Unido a la vanguardia de la innovación tecnológica, el intercambio internacional de datos y la protección de datos personales".

Ese, por supuesto, es el giro. En realidad, a partir de este escrito, las propuestas están muy cerca de lo que el Reino Unido estaba recibiendo bajo el RGPD de la UE de todos modos, empaquetado como la propia idea del Gobierno.

En la práctica, el trabajo real será un poco más complicado que eso.

Para las empresas de comercio electrónico, es imperativo que cualquier régimen de protección de datos posterior a la UE en el Reino Unido siga siendo totalmente equivalente a las normas europeas de protección de datos. Sin equivalencia, los flujos de datos más básicos se volverán contenciosos, engorrosos y costosos. Los profesionales del comercio electrónico deben estar preparados para dejar claras las necesidades de nuestra industria al gobierno en los años venideros.

Las siguientes 11 secciones cubren los fundamentos del cumplimiento del RGPD específicamente en lo que respecta a las empresas de comercio electrónico.

GDPR para el comercio electrónico – 11 áreas clave y listas de verificación

El RGPD es un tema enorme. Esta guía no es de ninguna manera exhaustiva, ni es asesoramiento legal. Como profesional de comercio electrónico, o alguien que desee entender los requisitos de las empresas de comercio electrónico bajo GDPR, está diseñado para darle los medios para identificar problemas clave para abordar o asegurarse de que ha abordado.

11 áreas clave

Las 11 áreas clave que hemos desglosado son las siguientes:

  1. Conciencia
  2. Avisos de privacidad
  3. Derechos individuales
  4. Solicitudes de acceso al sujeto
  5. Recopilación de datos – la infromación que tienes
  6. Consentimiento y bases jurídicas
  7. Negocios de comercio electrónico que tratan con niños
  8. Violaciones de datos
  9. Asuntos internacionales y Escudo de privacidad
  10. "Privacidad por Diseño" & "Protección de Datos por Defecto"
  11. Funcionarios de protección de datos

Cada área proporciona una visión general del RGPD en lo que se refiere a las empresas de comercio electrónico, seguido de una lista de verificación de "Preguntas clave" para preguntar con el fin de informar el cumplimiento de su organización.

GDPR para el comercio electrónico – Area 1: Concienciación

El paso más básico involucrado en el cumplimiento del RGPD es el conocimiento de la regulación y lo que significará para su negocio de comercio electrónico. El simple hecho de que usted está leyendo esto (y, con suerte, seguirá leyendo hasta el final) ya le ha puesto en una ventaja.

Puede crear una cultura saludable de respeto por la protección de datos y la privacidad haciendo que todos los usuarios con los que trabaje sepan las formas en que la ley está cambiando y cómo estos cambios afectarán su trabajo de una manera positiva.

Esto incluye a las personas con las que trabaja dentro de su negocio, así como a contratistas externos y proveedores de servicios.

Internamente, ideando un plan de concienciación e implementación del RGPD para todos los miembros de tu equipo, desde la alta dirección hasta los desarrolladores de software. Asegúrese de que todos entiendan qué GDPR transfiere de la antigua Ley de Protección de Datos y qué requisitos son nuevos.

Conciencia no tiene atajos, por lo que debe asignar los recursos humanos y técnicos adecuados al proceso antes y después de mayo de 2018. Recuerde que sus requisitos de cumplimiento no son una tarea única: deben incorporarse a los procesos y funciones en curso.

Un enfoque exhaustivo de la implementación implicaría informes periódicos sobre su progreso a su alta dirección y Junta Directiva, con la expectativa de que proporcionarían un escrutinio y un retroceso saludables durante todo el proceso.

Externamente, debe hablar con sus contratistas, socios y proveedores externos sobre sus propios planes GDPR, especialmente si su relación comercial implica el intercambio de datos. Según el RGPD, en caso de preocupación reglamentaria, cada controlador o procesador se hace responsable de todo el daño. Eso significa que el cumplimiento completo de su parte, pero el cumplimiento incompleto por parte de una parte que maneja sus datos, todavía rebotará sobre sí mismo. Para los minoristas, esto tiene un montón de ramificaciones. Su plataforma de marketing por correo electrónico contiene los datos personales de sus clientes, a menudo los proveedores de tecnología de remarketing contendrán esto, su proveedor de CRM probablemente almacena los datos personales de sus clientes, si utiliza una plataforma de comercio electrónico basada en la nube, el proveedor de la nube (por supuesto) registra los datos personales de sus clientes en su nombre.

Puede que apruebe que el cumplimiento le obligo a renegociar sus contratos, modificar sus intercambios de datos y renegociar acuerdos de servicio. En caso de cualquier caso de resistencia total al cumplimiento de, por ejemplo, proveedores de servicios no pertenecientes a la UE que se nieguen a reconocer que el RGPD se aplica a ellos, debe poner fin a la relación comercial y obtener un nuevo proveedor de servicios externo.

Conciencia: 6 preguntas clave que hacer

  1. ¿Entiende qué sigue buscando en el RGPD de la antigua Ley de Protección de Datos y qué hay de nuevo?
  2. ¿Está seguro de que cumple con la Ley de Protección de Datos existente?
  3. ¿Ha ideado un plan de concienciación e implementación del RGPD para todos los empleados, que va desde la alta dirección hasta el personal de línea?
  4. ¿Está proporcionando a su Junta actualizaciones periódicas sobre su progreso en la implementación del RGPD?
  5. ¿Ha asignado recursos humanos y técnicos adecuados a la implementación del RGPD?
  6. ¿Ha hablado con sus contratistas y proveedores sobre sus propios planes de implementación del RGPD?

GDPR para el comercio electrónico – Area 2: Avisos de privacidad

Bajo el régimen de protección de datos anterior, las políticas de privacidad se volvieron largas, perezosas y legalistas. Sus principales beneficiarios eran a menudo abogados que cobraban miles de libras para generarlas a partir de plantillas, y los resultados finales rara vez tenían una relevancia cercana para el sitio o los problemas de privacidad dentro de él. Una letanía de problemas de privacidad en sitios que tenían políticas de privacidad más largas que las novelas también insinuó el uso de políticas como vehículos para violar la privacidad, no para protegerla.

El RGPD tiene como objetivo reclamar los avisos de privacidad como diálogos concisos, transparentes e inteligibles con sus usuarios. También representan la cara pública del avance del RGPD hacia el consentimiento granular y el empoderamiento de los usuarios. Convertirse en un cliente, o adoptar un servicio, ya no es un medio para que los minoristas logren otros fines.

Inglés sencillo; Información abierta

En el futuro, los avisos de privacidad de su negocio de comercio electrónico deben escribirse en inglés. Necesitan contener ciertos tipos de información de una manera limpiamente formateada. Y todo lo que está haciendo con los datos de sus usuarios – todo – tiene que salir a la luz. ¿Qué haces con los datos? ¿Por qué lo recoges? ¿Cuál es su consentimiento o base legal para la tenencia de los datos? ¿Con quién lo compartes? ¿Dónde se almacena? ¿Está transfiriendo los datos fuera de la UE? ¿Cómo puede un usuario invocar sus derechos individuales?

El diseño también entra en juego aquí. Los avisos de información de privacidad deben presentarse de una manera atractiva, preferiblemente una tabla con iconos. (Muchos reguladores europeos de protección de datos están desarrollando plantillas estandarizadas para su adopción en el plazo hasta mayo de 2018).

Avisos de privacidad y terceros

Fundamentalmente para las empresas de comercio electrónico, los avisos de privacidad deben enumerar todos los terceros que reciben sus datos, y lo que hacen con ellos. Esto significa todos ellos: el aviso de privacidad preparado para el RGPD de PayPal incluye más de 600 proveedores externos agrupados por servicio. Funciona de otra manera: debe indicar qué datos recibe de terceros, ya sea información de verificación de pagos o información de balizas publicitarias.

Los detalles de su aviso de privacidad en proveedores externos deben aclarar qué servicios son esenciales (por ejemplo, procesadores de pagos) y cuáles tienen fines analíticos, publicitarios y de marketing. El desarrollo responsable incluiría enlaces a la propia política de privacidad de cada tercero dentro de su declaración de privacidad, dando a sus usuarios un medio para excluirse del seguimiento individual en el origen.

Es vital revisar los avisos de privacidad pública de sus proveedores de servicios externos, especialmente aquellos que reciben o utilizan sus datos. Tome nota de los proveedores que no hayan actualizado sus avisos al nuevo formato; prestación de atención a cualquier proveedor que no lo hará.

Avisos de privacidad: 8 preguntas clave para hacer

  1. ¿Ha revisado los avisos de privacidad en sus sitios web, aplicaciones y servicios en línea, así como cualquier literatura impresa que muestre en eventos, para la moneda, la precisión y el cumplimiento de las directrices de 2018 (no 2008)?
  2. Puede asegurarse de que sus avisos de privacidad son:
    1. Escrito en inglés sencillo, sin "legale";
    2. Desglosado en oraciones claras y párrafos cortos;
    3. Proporcione una descripción honesta de qué datos se recopilan, cómo se procesan los datos, cómo se utilizan los datos, con quién se comparten los datos y cuáles son los derechos del usuario;
  3. Si no se basa en el consentimiento, ¿sus avisos de privacidad explican su base legal para el procesamiento de datos de usuario?
  4. ¿Sus avisos de privacidad enumeran todos los socios y proveedores de servicios externos con los que comparte datos y observan cuáles son esos datos y cómo se utilizan?
  5. ¿Sus avisos informan a los usuarios sobre sus derechos, incluyendo a quién ponerse en contacto con un sujeto de solicitudes de acceso, y cómo pueden presentar una queja ante un regulador (en el Reino Unido, ICO) si sienten que no está cumpliendo sus datos?
  6. ¿Sus avisos proporcionan opciones claras y granulares para el consentimiento, los derechos individuales y las solicitudes de acceso de los sujetos?
  7. ¿Sus avisos proporcionan datos de contacto claros para su empresa, su punto de contacto para las solicitudes de acceso al sujeto y su responsable de protección de datos, si corresponde?
  8. ¿Sus avisos han separado sus estándares de privacidad de los términos y condiciones generales, particularmente en sus sitios web y aplicaciones?

 

RGPD para el comercio electrónico – Area 3: Derechos individuales

Según el RGPD, los derechos que las personas tienen sobre la recopilación y el procesamiento de sus datos personales se amplían considerablemente. Para su negocio de comercio electrónico, esto significa respetar esos derechos, implementarlos en sus estructuras de planificación y estar preparado para satisfacer la invocación de estos derechos por parte de los usuarios de una manera abierta y rápida.

Los derechos que las personas tienen sobre sus datos incluyen:

• El derecho a ser informado sobre lo que está haciendo con los datos a través de avisos de privacidad, como hemos discutido previamente;

• El derecho de los usuarios a acceder a una copia de los datos que tiene sobre ellos;

• El derecho a corregir cualquier dato erróneo que posea;

• El derecho de supresión, es decir, el derecho a solicitar que elimine ciertos tipos de datos que posee, comúnmente conocidos como el "derecho al olvido";

• El derecho a restringir el procesamiento, o el derecho a pedirle que deje de utilizar sus datos de ciertas maneras;

• El derecho a la portabilidad de los datos, o el derecho a llevar los datos que tiene sobre ellos a otro proveedor de servicios;

• El derecho a oponerse a sus usos de sus datos; Y

• Sus derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles, incluidos los datos que utiliza o comparte con fines publicitarios, de marketing y de comportamiento.

Para las empresas de comercio electrónico, este último requisito es más probable que tenga el mayor impacto. Los usuarios pueden oponerse a que sus datos se compartan con los vendedores. También pueden oponerse a que los datos se pasen en segundo plano con fines de generación de perfiles.

Sus avisos de privacidad deben incluir información sobre cómo sus usuarios pueden invocar estos derechos sobre sus datos, y su empresa debe, por supuesto, tener los mecanismos para llevar a cabo esto.

Es fundamental recordar que estos derechos son granulares. Por ejemplo, un cliente puede oponerse a que comparta sus datos con terceros con fines publicitarios. Esto no puede afectar a ningún otro aspecto de su relación comercial.

Derechos individuales: preguntas clave para hacer

  1. ¿Ha revisado sus disposiciones actuales para cumplir con los derechos individuales?
  2. ¿Ha revisado cómo publicita los derechos individuales en sus avisos de privacidad?
  3. ¿Ha determinado qué datos que posee podrían estar sujetos a estos derechos?
  4. ¿Tiene las capacidades técnicas para producir una copia electrónica de los datos que tiene sobre un usuario?
  5. Si procede, ¿tiene su producto o servicio la capacidad técnica de portabilidad de datos?
  6. ¿Ha desagregado los derechos individuales sobre los datos utilizados para la toma de decisiones automatizada y la elaboración de perfiles a partir de los datos estrictamente necesarios para la prestación de sus servicios?
  7. ¿Sabe que no puede cobrar a los usuarios ninguna tarifa administrativa por invocar estos derechos o cualquier costo por el tiempo que necesite para cumplirlos?

GDPR para el comercio electrónico – Area 4: Solicitudes de acceso al sujeto

Ya hemos hablado sobre los derechos mejorados que sus clientes y clientes tienen sobre sus datos en virtud del RGPD. La forma más sencilla de invocar estos derechos se denomina solicitud de acceso de sujeto (SAR).

Esta es una solicitud hecha por alguien cuyos datos usted tiene o procesa, enviados en cualquier formato, para que usted les proporcione

1.  Confirmación de que está procesando sus datos;

2.  Una copia de los datos personales que usted tiene sobre ellos;

3.  Cualquier otra información que tenga en su poder sobre el tema, incluyendo qué datos ha pasado a terceros, y qué base se hizo bajo.

Una solicitud de acceso de sujeto es el primer paso de un usuario para invocar los demás derechos individuales que tiene sobre sus datos. Su proceso de Solicitud de Acceso al Sujeto debe explicarse claramente en sus avisos de privacidad, que discutiremos más adelante.

Su empresa debe responder a una solicitud de acceso de sujeto en el plazo de un mes a partir de la recepción. Debido a que una solicitud de acceso de sujeto es una invocación de derechos fundamentales, no puede cobrar a las personas físicas una tasa administrativa o un recargo para ejercer este derecho.

Solicitudes de acceso al sujeto: 9 preguntas clave para hacer

 

  1. ¿Ha creado un proceso de solicitud de acceso de sujeto?
  2. ¿Se detalla su proceso de solicitud de acceso a la persona en sus avisos de privacidad?
  3. ¿Se documenta el proceso interno de solicitud de acceso a sujetos de manera que cumpla con la aprobación de su regulador de protección de datos?
  4. ¿Tiene un punto de contacto central para gestionar las solicitudes de acceso de los sujetos?
  5. ¿Cómo se cuentan los SAN en su organización? ¿A quién se le informa de su recepción, de su progreso y de su finalización?
  6. ¿Tiene la capacidad técnica y de personal para responder a las solicitudes de acceso de los sujetos en un plazo de 30 días?
  7. ¿Están sus sistemas equipados para generar los datos requeridos bajo un SAR?
  8. ¿Garantiza su documentación que no se pasaría por alto ningún uso de los datos al responder a un SAR?
  9. ¿Sus subcontratistas y socios externos tienen un proceso documentado y visible de solicitud de acceso a los sujetos?

GDPR para comercio electrónico – Area 5: Recopilación de datos – Información que tiene

El paso más fundamental hacia el cumplimiento del RGPD es estar constantemente al tanto de los datos personales que posee su empresa, por qué los recopila, dónde se almacenan y con quién los comparte.

Debe auditar todas las actividades de recopilación y tratamiento de datos que lleve a cabo en su negocio. Es totalmente probable que el proceso de llevar a cabo esta auditoría identifique las actividades que ya no realiza, el procesamiento que ya no realiza y la información que ya no necesita. Este proceso -el primer paso hacia la minimización y eliminación de datos- es también un cambio de paso en el RGPD.

Esta auditoría debe incluir los datos que recibe y procesa de terceros proveedores. Incluso si los datos solo pasan por usted en tránsito, tiene la responsabilidad de saber qué es y cómo los está protegiendo.

Para la mayoría de las empresas de comercio electrónico, la recopilación y el procesamiento de datos son regulares, incluyen datos personales confidenciales o podrían amenazar los derechos y libertades de las personas. Por estas razones, la auditoría de los datos que posee debe incluir un registro completo de todas sus actividades de recopilación y procesamiento de datos, incluyendo:

  • Los fines para los que está recopilando y/o procesando datos personales;
  • Una descripción de las categorías de personas sobre las que está procesando datos;
  • Una descripción de las categorías de datos que está procesando;
  • Una descripción de los destinatarios de los datos personales que está transfiriendo fuera de su organización;
  • Una descripción de las transferencias internacionales (no pertenecientes a la UE) de datos personales, incluidas las salvaguardias existentes;
  • Cualquier evaluación de impacto de protección de datos que haya realizado;
  • Una descripción de los procedimientos de retención de datos, como dónde se almacenan los datos, cuánto tiempo se conserva cada categoría de datos, cuándo se eliminan los datos y cómo se verifica la eliminación;
  • Una descripción de las medidas técnicas de seguridad que ha tomado;
  • Una descripción de las medidas de seguridad organizativas que ha tomado, incluida la formación del personal y la documentación de recursos humanos; Y
  • un registro de las políticas que ha puesto en marcha para hacer frente a una violación de datos, incluidos los mecanismos internos de notificación y las estructuras de contacto.

Recopilación de datos: preguntas clave para hacer

  1. ¿Ha realizado una auditoría de la información que tiene en línea?
  2. ¿Ha realizado una auditoría de la información que mantiene fuera de línea?
  3. ¿Ha realizado una auditoría de cómo se conserva, reutiliza y comparte la información?
  4. ¿Ha realizado una auditoría de los datos que envía a terceros?
  5. ¿Ha realizado una auditoría de los datos que posee de terceros?
  6. ¿Ha revisado las formas en que sus socios y proveedores externos auditan, clasifican e inventarian los datos que comparte con ellos?

RGPD para el comercio electrónico – Area 6: Consentimiento y base legal

El consentimiento es uno de los principios más mal entendidos e mal informados del RGPD. Los nuevos requisitos no son tan malos como los detractores te harían creer. Sin embargo, las nuevas reglas de hecho requieren una mayor atención y documentación de su negocio.

Según el RGPD, en la mayoría de las circunstancias, la recopilación y el procesamiento de datos que realice deben realizarse con el consentimiento de las personas sobre las que se tratan los datos.

Si el consentimiento no es la base, su uso de los datos debe ser fundamentado en una justificación legal.

Los mecanismos de consentimiento y las bases legales que utiliza para recopilar y procesar datos deben ser claros, documentados y verificables.

Sus procesos de consentimiento deben ser:

• Activo: el consentimiento se da libremente, específico e inequívoco;

• El consentimiento activo también debe ser positivo, lo que significa que no ha presumido el consentimiento de una casilla premarcada, la inactividad o la no selección de ninguna opción;

• La privacidad debe presentarse como múltiples opciones granulares, y no como una modo de blanco y negro, ya sea o de dicotomía;

• Desagregado: los usuarios no pueden verse obligados a conceder el consentimiento para una cosa con el fin de recibir otra;

• Nombrado: el usuario debe ser informado de todos los terceros específicos que recibirán sus datos y por qué los recibirá;

• No hay desequilibrio en la relación: el consentimiento no debe crear una relación injusta entre el usuario y el encargado del tratamiento;

• Verificable y documentado: usted debe ser capaz de probar quién dio su consentimiento, cómo se dio el consentimiento, qué información se les dio, qué acordaron, cuándo consintieron, y si el usuario ha retirado o no su consentimiento.

Sus procesos de consentimiento deben incluir consentimiento por separado para fines publicitarios, de seguimiento y de marketing. Los usuarios deben tener la oportunidad de optar activamente por el uso de sus datos para dichos fines. Ya no deberían agruparse como parte de la prestación de servicios básicos.

Asimismo, los usuarios deben poder conceder el consentimiento para el paso de sus datos a terceros para servicios no esenciales. Esto, en el lenguaje del RGPD, significa publicidad, marketing y perfilado.

En cuanto al consentimiento, su documentación interna debe indicar:

• Quien dio su consentimiento;

• Cómo se dio el consentimiento;

• Qué información se les dio y qué acordaron;

• Cuando consintieron (idealmente un registro con marca de tiempo); Y

• Si el usuario ha retirado o no su consentimiento.

Como hemos discutido en la invocación de derechos individuales, los usuarios pueden retirar su consentimiento por cualquier motivo en cualquier momento, y no tienen que proporcionarle una razón para hacerlo.

¿Procesar datos sin consentimiento?

Es importante tener en cuenta que hay circunstancias fuera del "consentimiento", donde las organizaciones pueden procesar los datos de los clientes.

Si la relación de usuario no se basa en el consentimiento activo, debe poder justificar su recopilación y tratamiento de datos en una base legal, específicamente que cumple uno de los siguientes requisitos:

  1. Necesario para la ejecución de un contrato;
  2. Necesario para cumplir con una obligación legal;
  3. Necesario para proteger los intereses vitales de la persona (por ejemplo, proporcionar ayuda médica de emergencia);
  4. Necesario para el desempeño de una tarea de interés público o en el ejercicio de la autoridad oficial;
  5. Necesario a los efectos de los "intereses legítimos" perseguidos por el responsable o tercero.

El punto «E» aquí, "intereses legítimos", es quizás el más ambiguo, y el más discutido, de ellos.

intereses legítimos?

Una de las áreas más habladas del RGPD en términos de procesamiento de datos sin consentimiento es "Intereses legítimos".

El Comisionado de Información del Reino Unido explica que esto es el más adecuado para situaciones en las que se aplican todos los criterios siguientes:

  • El procesamiento no es requerido por la ley, pero es de un beneficio claro para usted u otros;
  • Hay un impacto limitado en la privacidad en el individuo;
  • La persona debe esperar razonablemente que usted utilice sus datos de esa manera; Y
  • Usted no puede, o no desea, dar al individuo un control inicial completo (es decir, el consentimiento) o molestarlo con solicitudes de consentimiento disruptivas cuando es poco probable que se opongan al procesamiento.

Además, el interés legítimo no se puede aplicar retroactivamente a los datos personales ya recopilados o procesados.

El Comisionado de Información del Reino Unido proporciona un gráfico útil, que contiene ejemplos de los que los «métodos de comercialización» pueden estar probablemente adecuadamente cubiertos por «intereses legítimos», y que probablemente no:

image4

suave optar por?

El cuadro anterior es útil para las empresas de comercio electrónico, ya que ilustra que, al menos en el Reino Unido, el organismo encargado de hacer cumplir el RGPD considera que la "opción suave" (un método utilizado por muchos minoristas en línea para enviar un correo electrónico legalmente a los clientes existentes) sigue siendo una práctica aceptable.

El Comisionado de Información del Reino Unido describe además la práctica de la «opt-in suave»:

"El término 'soft opt-in' se utiliza a veces para describir la regla sobre los clientes existentes. La idea es que si un individuo compró algo de usted recientemente, le dio sus detalles, y no optó por no recibir mensajes de marketing, probablemente esté feliz de recibir marketing de usted sobre productos o servicios similares, incluso si no han dado su consentimiento específico. Sin embargo, debe haberles dado una clara oportunidad de optar por no participar, tanto cuando recopiló sus datos por primera vez, como en cada mensaje que envíe".

"La regla de suscripción suave significa que puede enviar un correo electrónico o enviar mensajes de texto a sus propios clientes, pero no se aplica a clientes potenciales o nuevos contactos (por ejemplo, de listas compradas). Tampoco se aplica a las promociones no comerciales (por ejemplo, la recaudación de fondos de caridad o las campañas políticas)."

Consentimiento y Base Legal: 8 preguntas clave para hacer

  1. ¿Ha determinado qué aspectos de su recopilación y procesamiento de datos se basan en el consentimiento y qué aspectos se basan en una base legal?
  2. ¿Se ha asegurado de que sus procesos de consentimiento cumplan los criterios anteriores?
  3. Si no se basa en el consentimiento activo, ¿puede documentar y demostrar que su recopilación y tratamiento de datos se basa en una base legal?
  4. ¿Puede documentar una prueba de consentimiento o base legal para los datos que recopila y procesa?
  5. ¿Ha revisado sus mecanismos y registros de consentimiento existentes para asegurarse de que sus procesos de consentimiento cumplen con los criterios anteriores?
  6. Si falta algún aspecto de los nuevos criterios, ¿está preparado para modificar sus mecanismos de consentimiento para actualizar y asegurar el consentimiento a nivel de GDPR?
  7. Si no puede restablecer el consentimiento en virtud de los requisitos del RGPD, ¿tiene su tratamiento de datos una base legal?
  8. ¿Está preparado para cesar el procesamiento de datos y eliminar registros para casos en los que no puede obtener el consentimiento y no tiene ninguna base legal?

GDPR para el comercio electrónico – Area 7: Negocios de comercio electrónico que se ocupan de los niños

Si su negocio se dirige a niños, o recopila datos de o sobre ellos, hay nuevos requisitos en virtud del RGPD a los que tendrá que prestar atención adicional en sus procesos de ventas.

 

Esto se aplica a los datos que recopila en la venta y el cumplimiento de pedidos de mercancías, así como a los datos creados por niños, por ejemplo, en aplicaciones y juegos en línea.

Si su servicio se dirige a los niños, hay un nuevo requisito fascinante bajo GDPR: debe incluir un aviso de privacidad escrito para los niños en un idioma que puedan entender. Un niño debe entender lo que está consintiendo cuando da su consentimiento. Del mismo modo, sus adultos deben tener una comprensión cristalina de los usos más profundos de sus datos en el aviso de privacidad estándar que también debe incluirse.

Espere que los hijos de los frikis de todas partes sean enganchados a pruebas A/B para políticas de privacidad.

Tratar con niños: 7 preguntas clave para hacer

  1. ¿Sabe si recopila o no información sobre menores de 16 años o no?
  2. Si es así, ¿ha documentado los procesos que utiliza para proteger esta información?
  3. ¿Ha documentado sus procesos adicionales de minimización, almacenamiento y eliminación de datos para los datos de menores de 16 años?
  4. ¿Los niños proporcionan su información directamente? Si es así, ¿ha escrito un aviso de privacidad para niños en un idioma que puedan entender?
  5. ¿Está documentando pruebas de que tiene el consentimiento de los padres para cualquier procesamiento de datos para menores de 16 años?
  6. ¿Elimina los registros de datos de los hijos a petición de un padre o tutor sin necesidad de pruebas documentales de la relación?
  7. ¿Elimina los datos que generó un niño si ese niño es ahora un adulto y solicita que lo haga?

RGPD para el comercio electrónico – Area 8: Violaciones de datos

Las violaciones de datos pueden ser desastrosas para sus clientes y también para su negocio. La verdad del asunto, sin embargo, es que las violaciones de datos -ya sean causadas por factores técnicos o humanos- casi siempre son prevenibles.

El RGPD requiere que haga todo lo posible para evitar que se realicen violaciones de datos, y también para prepararse para las violaciones de datos con antelación. Usted debe auditar sus sistemas técnicos, así como sus procesos humanos, para cosas que podrían abrir la puerta a una violación de datos que sucede.

Prepararse para las violaciones de datos requiere que usted tome una mirada honesta (y, posiblemente, bastante incómoda) a qué aspectos de sus procesos y culturas internas podrían contribuir a una violación prevenible. Cualquier tecnología es tan buena como la gente detrás de ella. El personal inseguro es un riesgo mucho mayor para la integridad de los datos que las bases de datos inseguras.

En caso de violación de datos, un regulador de protección de datos puede solicitar pruebas documentadas, incluyendo lo siguiente:

  • Detalles sobre la naturaleza de una infracción, como qué categoría de datos se incumplió, cuántas personas se vieron afectadas y cuántos registros de datos estaban involucrados;
  • Información sobre cómo se le alertó de una infracción y por quién;
  • Cualquier información disponible sobre quién es responsable de una violación, o cómo ocurrió;
  • ¿Qué consecuencias están sucediendo como resultado de una violación;
  • ¿Qué medidas está tomando para hacer frente a una infracción, como ponerse en contacto con los clientes o restablecer todas las contraseñas;
  • ¿Qué medidas está tomando para hacer frente a las consecuencias, como los cargos no autorizados a las cuentas de los clientes;
  • ¿El nombre y los datos de contacto de su responsable de protección de datos o de la persona que toma la iniciativa sobre las violaciones de datos?

Debe preparar una plantilla con antelación para recopilar y enviar esta información; la mañana de un descubrimiento de violación de datos no es el momento de averiguarlo. Las infracciones de alto riesgo deben notificarse dentro de las 72 horas posteriores al descubrimiento.

Violaciones de datos: 6 preguntas clave para hacer

  1. ¿Audita regularmente sus sistemas y procesos para detectar posibles problemas de violación de datos?
  2. ¿Conoce los criterios para una violación de "alto riesgo", reportable?
  3. ¿Ha creado una plantilla para los requisitos de informes de violación de datos del RGPD?
  4. ¿Ha llevado a cabo una autopsia de las violaciones de datos que haya experimentado en el pasado?
  5. ¿Tiene un mecanismo interno de notificación para informar de posibles violaciones de datos antes de que ocurran?
  6. ¿Puede el personal informar de un problema, ya sea técnico o humano, que podría conducir a una violación de datos, sin temor a represalias?

GDPR para el comercio electrónico – Area 9: Escudo internacional y de privacidad

Según la legislación europea de protección de datos, los datos personales no pueden transferirse fuera de la UE a terceros países a menos que ese país garantice un nivel de protección de datos "igual y adecuado".

Su negocio de comercio electrónico debe estar preparado para:

• Proteja sus datos en su origen y su destino, y

• Proporcionar un medio legal para que esos datos se muevan.

Para proteger los datos, debe asegurarse de que sus socios y proveedores de servicios no pertenecientes a la UE hayan implementado un sistema de protección de datos que sea igual y adecuado al RGPD para los datos europeos que les está enviando.

Para proporcionar un medio legal, debe garantizar que sus datos se transfieren en virtud de un acuerdo marco o a través de alternativas específicas.

El marco principal es Privacy Shield, que se aplica a las empresas estadounidenses que hacen negocios con datos europeos. Dada la incertidumbre política actual, es fundamental para usted asegurarse de que sus socios con sede en Estados Unidos y proveedores de servicios externos cumplen con Privacy Shield, idealmente en la etapa del contrato.

Las alternativas a los acuerdos marco incluyen las transferencias intraempresariales y las cláusulas contractuales, todas las cuales deben ser tratadas por un abogado.

Debe indicar en sus avisos de privacidad que los datos se transfieren fuera de la UE, y enumerar todas las partes específicas que reciben esos datos, así como lo que hacen con ellos. Sus avisos también deben proporcionar un medio para que los usuarios se opongan a que sus datos se transfieran fuera de la UE, teniendo en cuenta que no necesitan proporcionar una razón para pedirle que lo haga.

Si trabaja a través de las fronteras europeas, sus avisos de privacidad deben indicar su principal país de establecimiento y su autoridad de supervisión principal, es decir, el regulador nacional de protección de datos que manejaría las preocupaciones sobre su empresa.

Cuestiones internacionales: 6 preguntas clave para hacer:

  1. ¿Están familiarizados todos sus socios y proveedores de servicios externos en países no pertenecientes a la UE con los nuevos requisitos del RGPD?
  2. ¿Ya están en conformidad o se requiere un trabajo corrector?
  3. ¿Son compatibles con Privacy Shield sus socios con sede en Estados Unidos y proveedores de servicios externos?
  4. ¿Está incluyendo y exigiendo el cumplimiento del RGPD en sus contratos con socios y proveedores de servicios?
  5. ¿Se aclaran todas las transferencias internacionales de datos y los usos de esos datos en sus avisos de privacidad orientados al público?
  6. Si trabaja a través de las fronteras europeas, ¿ha identificado su principal país de establecimiento y autoridad supervisora principal en sus avisos de privacidad?

GDPR para el comercio electrónico – Area 10: "Privacidad por diseño" & "Protección de datos por defecto"

El RGPD requiere que los diseñadores, desarrolladores y propietarios de negocios cambien a una cultura de privacidad por diseño (Privacidad por diseño) y protección de datos de forma predeterminada.

Esto significa que todos sus procesos, servicios y aplicaciones de uso intensivo de datos deben diseñarse con una privacidad y protección de datos óptimas integradas desde el principio.

Esto es en respuesta directa a una cultura que ha fomentado la privacidad mínima y el máximo intercambio por defecto, con poco o ningún consentimiento posible por parte del usuario.

  • ¿Requiere sesión a través de una cuenta de redes sociales? Ido.
  • ¿Requiere permisos de micrófono, sensor de cuerpo y contactos para usar una aplicación? Ido.
  • ¿Exigir a un usuario que consienta que sus datos de navegación web se pasan a una cadena de café para utilizar su aplicación de fidelización? Ido.

Estos cambios no son antes de tiempo, en lo que a muchos se refiere.

La clave de la filosofía de la protección de datos por defecto es un marco de desarrollo conocido como Privacy by Design (Privacy by Design). Este marco contiene los siguientes 7 principios:

1.   La privacidad debe ser proactiva, no reactiva y debe anticiparlos a la privacidad antes de que lleguen al usuario. La privacidad también debe ser preventiva, no correctiva.

2.   La privacidad debe ser la configuración predeterminada. El usuario no debe tener que tomar medidas para proteger su privacidad, y no se debe asumir el consentimiento para el intercambio de datos.

3.   La privacidad debe estar integrada en el diseño. La privacidad es una función central del producto o servicio, no un complemento.

4.   La privacidad debe ser una suma positiva y debe evitar las dicotomías. Por ejemplo, Privacy by Design ve un equilibrio alcanzable entre privacidad y seguridad, no un juego de privacidad o seguridad de suma cero.

5.   La privacidad debe ofrecer una protección integral del ciclo de vida de los datos de los usuarios. Esto significa participar en procesos adecuados de minimización, retención y eliminación de datos.

6.   Los estándares de privacidad deben ser visibles, transparentes, abiertos, documentados y verificables de forma independiente.

7.   La privacidad debe estar centrada en el usuario. Esto significa proporcionar a los usuarios opciones de privacidad granulares, valores predeterminados de privacidad maximizados, avisos detallados de información de privacidad, opciones fáciles de usar y una notificación clara de los cambios.

Sus obligaciones de Privacidad por Diseño y Protección de Datos por Incumplimiento son internas, como garantizar las salvaguardias técnicas, hacer que el personal tome conciencia de sus obligaciones legales y documentar las mejores prácticas.

También son externos, como publicar avisos de privacidad, participar en la minimización y eliminación de datos y proporcionar a los usuarios opciones de privacidad granulares.

Un aspecto de Privacy by Design es la creación de Evaluaciones de Impacto en la Privacidad (PIA), lo que simplemente significa un proceso mediante el cual los riesgos de privacidad inherentes a un proyecto se identifican y abordan desde el principio. La privacidad por diseño es la conversación que tiene con su equipo, sus profesionales de terceros y sus clientes, antes de que se haga el trabajo de un solo clic.

Las empresas de comercio electrónico deben desarrollar una plantilla de evaluación de impacto de privacidad para sus proyectos de uso intensivo de datos y ejecutar un PIA retrospectivo en los ya existentes. El Comisionado de Información del Reino Unido, ICO, tiene algunas orientaciones útiles sobre el camino a seguir.

Privacidad por diseño: 7 preguntas clave para hacer

  1. ¿Ha revisado sus sitios, aplicaciones y procesos existentes para obtener la mejor práctica de privacidad por diseño?
  2. ¿Ha revisado los puntos actuales de entrada de datos en busca de formas en que los datos podrían minimizarse? Estos podrían incluir campos de formulario "obligatorios", información de marketing obsoleta y registros de clientes.
  3. ¿Ha desarrollado una política de retención y eliminación de datos para los diferentes tipos de información que tiene?
  4. ¿Ha revisado las evaluaciones de impacto de privacidad de sus socios y proveedores de servicios externos?
  5. ¿Ha revisado el proceso para verificar que se han eliminado los datos?
  6. ¿Está seguro de que podría compartir su proceso de Privacidad por Diseño con el público en general?
  7. ¿Está seguro de que su proceso documentado de Privacidad por Diseño pasaría con un regulador?

RGPD para el comercio electrónico – Area 11: Data Protection Officers

Para las organizaciones que se dedican al procesamiento a "gran escala" de datos personales, que es probable que incluya a muchas empresas de comercio electrónico, el responsable de protección de datos – o oficial de protección de datos – es una persona nombrada que asumirá la responsabilidad legal y profesional del cumplimiento de la protección de datos.

¿Necesita un responsable de protección de datos?

¿Necesita un oficial de protección de datos? La Oficina del Comisionado de Información del Reino Unido establece:

En virtud del RGPD, debe designar un DPO si:

  • Usted es una autoridad pública (excepto para los tribunales que actúan en su capacidad judicial);
  • Sus actividades principales requieren un seguimiento a gran escala, regular y sistemático de las personas (por ejemplo, el seguimiento del comportamiento en línea); O
  • Sus actividades principales consisten en el procesamiento a gran escala de categorías especiales de datos o datos relacionados con condenas penales y delitos.

Para las empresas de comercio electrónico, es menos probable que se aplique el primero de ellos, también menos probable que se aplique el tercero (discutimos "categorías especiales de datos" en otros lugares), pero el segundo de estos: "monitoreo a gran escala, regular y sistemático de individuos" bien puede aplicarse, y de hecho menciona específicamente "seguimiento de comportamiento en línea".

Dos áreas ambiguas dentro de esto son las "actividades básicas" y "a gran escala, regulares y sistemáticas". El Comisionado de Información ha proporcionado nuevas definiciones aproximadas de cada una de ellas:

¿Qué son las "Actividades básicas"?

"Sus actividades principales son las principales actividades comerciales de su organización. Por lo tanto, si necesita procesar datos personales para lograr sus objetivos clave, esta es una actividad básica. Esto es diferente al procesamiento de datos personales para otros fines secundarios, que puede ser algo que usted hace todo el tiempo (por ejemplo, información de nómina o HR), pero que no es parte de la realización de sus objetivos principales."

¿Qué es "a gran escala", "regular", "sistemático"?

"Un gran sitio web minorista utiliza algoritmos para monitorear las búsquedas y compras de sus usuarios y, en base a esta información, les ofrece recomendaciones. Dado que esto se lleva a cabo de forma continua y de acuerdo con criterios predefinidos, puede considerarse como un seguimiento regular y sistemático de los interesados a gran escala."

El papel de un DPO

Para utilizar una analogía un tanto engañosa, un oficial de protección de datos es su oficial de salud y seguridad para la privacidad y la protección de datos. Es su trabajo ser siempre tan un poco difícil:

"¿Por qué hay que allí?"

"¿Se ha entrenado ese nuevo empleado?"

"Espera un segundo: ¿podemos hacer eso?"

"¿Cuándo fue la última vez que revisamos lo que hay en ese almacén?"

Como el siempre tan un poco difícil oficial de salud y seguridad, cuando llegue el día, estarás agradecido por su presencia.

Hay ciertos derechos y protecciones que un responsable de protección de datos debe tener para hacer su trabajo:

  • Deben estar informados de todas las cuestiones de protección de datos de forma transparente y oportuna.
  • Deben ponerse a disposición de cualquier usuario que tenga una preocupación por el uso de sus datos
  • Deben mantener el secreto y la confidencialidad en todo momento con respecto a los datos personales.
  • Se les debe proporcionar todos los recursos necesarios para hacer el trabajo.
  • … y deben informar directamente y estar en contacto con su más alto nivel de gestión.

Además, no se le puede decir a su Responsable de Protección de Datos cómo hacer su trabajo, no pueden ser castigados o despedidos por plantear preguntas que quizás no escuche, y no se les pueden dar otras tareas o responsabilidades que podrían causar un conflicto de intereses.

El nombre y los datos de contacto de un DPO deben indicarse públicamente en los avisos de privacidad de su organización. Sus datos también deben ser suministrados a su regulador de protección de datos, ya que serán el primer punto de contacto para inquietudes y consultas.

Oficiales de Protección de Datos: 6 preguntas clave para hacer

  1. ¿Ha determinado si necesita un oficial de protección de datos por ley?
  2. Si no es necesario, ¿ha considerado nombrar a un Responsable de Protección de Datos voluntariamente?
  3. ¿Sabe que un responsable de protección de datos no requiere ninguna cualificación específica, formal o legal?
  4. Si bien su responsable de protección de datos puede ser a tiempo parcial o contratarse, ¿ha elegido un responsable de protección de datos que se encuentre dentro de un fácil acceso físico a sus instalaciones?
  5. ¿Ha elaborado una lista de qué cualidades seríadeseables para un responsable de protección de datos dentro de las necesidades específicas de su negocio de eventos?
  6. ¿Está preparado para darle a su oficial de protección de datos un lugar regular en el orden del día de su Junta, si corresponde?

Resumen

Esta guía se produce en beneficio de las empresas de comercio electrónico y los lectores interesados en el RGPD. Todo el contenido fue creado por Heather Burns y Dan Barker.

  • Para consultas sobre el trabajo de Derecho Digital y Política Tecnológica, Heather está disponible en webdevlaw.uk
Para obtener más información sobre la Guía de comercio electrónico, visítenos en EcommerceGuide.com o siga @ecommerce.

Si ha llegado a este punto y ha encontrado algún valor en la lectura, por favor comparta esta guía con otros. Puede hacerlo compartiendo https://ecommerceguide.com/guides/gpdr/ en Twitter, linkedIn, o por correo electrónico, o revisando la guía en Amazon en https://bit.ly/ecommercegdpr .

Descargo de responsabilidad

Esta orientación se refiere a la legislación de protección de datos de la UE mediante su aplicación en el Reino Unido. La autoridad de protección de datos en el Reino Unido, incluida Escocia, es la Oficina del Comisionado de Información (ICO) en https://www.ico.org.uk.

Todas las instrucciones y direcciones URL proporcionadas en este documento están actualizadas en el momento de la escritura, pero están sujetas a cambios.

La información proporcionada en este documento no es asesoramiento legal y su orientación se ofrece sin perjuicio.

Leave a Reply