El pasado 25 de Mayo entró en vigor la nueva Ley GDPR en Europa, asi que nos preguntamos ¿Que necesito para que mi sitio ecommerce cumpla con la GDPR?

Como dueño de un negocio eres un controlador de datos. Tu desarrollador web, hoster, y herramientas de marketing saas (mailchimp, etc …) son procesadores de datos. El controlador de datos es el completo responsable de los datos personales que guarda. De todas maneras, si se demuestra que tu procesador de datos ha sido negligente, también son responsables.

Todos sus procesadores de datos y subprocesadores deben cumplir con GDPR.

GDPR cubre todos y solo los datos personales almacenados en su organización y con sus procesadores de datos externos.

La GDPR no omite otras leyes. Por ejemplo, si debes guardar datos personales para justificar las facturas, entonces esto debe mantenerse por motivos legales.

¿Entonces que tengo que hacer?

Designe a un miembro del equipo para que se encargue de la protección de datos. Obtenga capacitación en protección de datos y una certificación. Por lo general, este es alguien a nivel de Junta, ya que requerirán un seguro de indemnización para cubrir la responsabilidad de esta función. Si se le pide a un miembro no miembro de la junta que asuma este rol, asegúrese de contar con un seguro de indemnización personal. En algunos casos, los Controladores de datos pueden ser considerados personalmente responsables de las violaciones de datos.

1. Actualiza tu Política de Privacidad

  1. Incluye una línea dedicada al GDPR
  2. Especifica que información recolectas y almacenas de los visitantes de tu sitio web. (por ejemplo: dirección ip, información del dispositivo, información de acceso, cookies, duración de la visita y rastreo, ratón y movimientos, email, teléfono, nombre, dirección y dirección de facturación)
  3. Especifica como y donde procesas esa información personal. (las cuentas, marketing, reporte de ventas, etc…)
  4. Especifica quien tiene acceso a estos datos personales. (por ejemplo, tu, mailchimp, google, etc ….)
  5. Especifique los datos de contacto del oficial de protección de datos asignado en su organización.
  6. Especifica como puede acceder el usuario para la modificación de los datos personales.
  7. Especifica cuanto tiempo guardarás la información personal.NOTA: Usando frases como “podríamos usar tu información” no está aceptanto la ley, porque no es explícito. Los pemisos deben ser explícitos y claros.

2. Elimina todos los opt-ins automáticos de tu sitio.

Todas las check boxes deben estar vacias en tus formularios online. Una caja vacía no implica aceptación. Acepta todo via checkbox debe ser explícito y guardado. Recomendamos que cuando un usuario acepta los términos y condiciones, una copia de estos esten guardados junto a los datos del cliente. De esta manera tendrán un registro explícito de lo que el cliente aceptó.

3. Guarda solo informacióm que requieres para que funcione tu negocio.

“Si no tienes la información, no necesitas protegerla”

Elimine la información personal que tenga en servidores, hojas de Excel, etc. que ya no use. Esto incluye correos electrónicos con archivos adjuntos de información personal.

Solo guarde una versión de información personal. Puede conservar copias solo con fines de copia de seguridad y restauración. Se aceptan hasta 4 copias de seguridad. Si conserva más necesita ser justificado. La ubicación de las copias de seguridad debe registrarse en su auditoría de datos.

Recopilar información adicional en caso de que pueda usarla en el futuro no es lícita. La información que tiene sobre personas para las que no tiene uso debe borrarse.

La información personal que recopile debe tener un uso legítimo.

4. Todas las infracciones de datos deben registrarse y aplicarse con una medida preventiva dentro de las 72 horas.

Ejemplos de violaciones de datos.

  • Información personal que se pasa o entra en posesión de un procesador de datos o subprocesador no autorizado.
  • Transferencia de datos personales a un país no compatible con GDPR.
  • Transmisión de datos personales a un tercero sin el conocimiento del interesado.
  • Información personal filtrada como resultado de un hackeo en un sitio web.

5. Tener un proceso de violación de datos y un plan establecido.

“Una violación de datos manejada incorrectamente puede causar daño incalculable a su marca.

Tenga un plan de acción en funcionamiento y ejecute los peores escenarios posibles para evaluar su plan.

6. Tener un proceso establecido para cuando alguien está buscando una copia de sus datos. (Solicitudes de acceso a datos de sujeto)

“Tengo una solicitud para que todos sus datos personales que tenga sobre una persona estén expuestos a ellos, ¿qué debo hacer?”

  • Verificar su identidad
  • Asegúrese de tener los datos antes de procesar la solicitud, si no los tiene, responda y diga “No tengo los datos”.
  • No crees más datos personales mientras realizas la solicitud
  • Procesar la solicitud
  • Regístrelo en su registro de auditoría de datos
  • No reveles datos personales de otras personas. Por ejemplo, en una tienda virtual, donde el nombre de la persona de envío no es el nombre del solicitante.
  • Hazlo en un máximo de 20 días.

7. Derecho a ser olvidado, como manejar esta petición.

“El señor D. Trece ha pedido que lo olviden en mi organización, ¿qué debo hacer?”

  • Verificar su identidad
  • Asegúrese de tener los datos antes de procesar la solicitud, si no los tiene, responda y diga “No tengo los datos”.
  • No crees más datos personales mientras realizas la solicitud
  • Eliminar y / o redactar la información personal almacenada. Quítelo de todos los sistemas y suites de marketing.
  • Regístrelo en su registro de auditoría de datos
  • Hazlo en un máximo de 20 días.

Nota: es posible que deba conservar la información personal para otros fines legítimos, como cuentas, llevar un registro de quién compró los productos prescritos, etc. Por lo tanto, una solicitud de eliminación no significa necesariamente una eliminación instantánea.

8. Retiro de permiso para procesar datos personales después de una transacción de comercio electrónico

“El Sr. D. Trece ha pedido que sus datos no se procesen después de que se envíen sus productos, ¿qué debo hacer?

  • Verificar su identidad
  • Asegúrese de tener los datos antes de procesar la solicitud, si no los tiene, responda y diga “No tengo los datos”.
  • Marque los datos en sus bases de datos para no ser utilizados en informes de marketing o minería de datos.
  • Notifique al sujeto que ha recibido su solicitud y marcado sus datos para excluirlos de un procesamiento de datos adicional.
  • Regístrelo en su registro de auditoría de datos

9. Solicitud de datos personales en un formato portátil transferible.

“El Sr. D. Trece ha pedido una copia de sus datos personales, ya que lo necesita para otro servicio”.

  • Verificar su identidad
  • Asegúrese de tener los datos antes de procesar la solicitud, si no los tiene, responda y diga “No tengo los datos”.
  • Envíe los datos personales en un formato csv legible
  • Regístrelo en su registro de auditoría de datos

10. Actualice sus contratos, Acuerdos de Confidencialidad y políticas de privacidad en su sitio web.

Todo el personal debe haber firmado el Acuerdo de Confidencialidad y la capacitación de protección de datos. Una buena regla empírica es incluir a todo el personal, incluso si no tienen acceso directo a la información personal en el curso normal de sus funciones.

Todos los contratos de los clientes deben actualizarse con una cláusula GDPR.

11. Tener un plan ante una brecha de datos.

Cuando se produce una violación o incumplimiento del GDPR con los datos, debe hacerlo en las siguientes 72 horas.

  • Investigue la brecha y ubique su fuente
  • Ponga en marcha acciones para evitar que vuelva a suceder
  • Informe el alcance del incumplimiento a todos los sujetos afectados
  • Notifique al Comisionado de datos de la violación incluyendo
    • El alcance de la violación
    • Número de sujetos afectados
    • La fuente de la violación
    • Las medidas tomadas para prevenir y evitar que la violación vuelva a suceder

Dependiendo de la escala y el tipo de incumplimiento, la oficina de Data Commissioners puede evitar que procese datos hasta que investiguen más a fondo la violación.

Esto podría impedirle procesar pagos, emitir facturas y ventas. Incluso si no se impone una multa, la interrupción de su negocio.

¿Esto parece mucho trabajo extra para el dueño de un negocio?

Es una buena oportunidad para hacer una limpieza de datos y asegurarse de que todos sus subcontratistas sean honestos, y de que tenga contratos válidos con sus clientes.

Esto solo se aplica a las grandes empresas, ¿nunca controlarán una pequeña empresa no?

¡¡ Incorrecto !! Es posible que la oficina del comisionado de protección de datos no lo audite en este momento, pero puede hacerlo en cualquier momento en el futuro. Si y cuando tiene una violación de datos debe informar esto a la oficina de comisionados de datos. No hacerlo es ilegal. Puede ser demandado por no proteger sus datos personales correctamente. Si se determina que sus procesos son defectuosos, entonces usted es responsable de grandes multas así como de la pérdida de reputación y pérdida de negocios.

Lo que ya no puedes hacer

1. No puede enviar correos electrónicos no solicitados a nadie. No más listas compradas o listas de fusión de diferentes compañías en otras listas
2. No se puede enviar un correo electrónico automático desde los carritos de la compra Abandoned que ofrecen descuentos a menos que el comprador haya optado por el correo electrónico en la parte superior de la caja.
3. No puede negarse a dar a los clientes sus datos personales si los ha pedido.
4. No puede enviar mensajes de texto no solicitados a través de números de teléfono móvil.

En resumen

Este es un breve resumen de GDPR desde el punto de vista del comercio electrónico. Es aconsejable tener 1 persona en su organización que tenga certificación de protección de datos.

  • Haz una auditoría de datos. Registre la ubicación de todos los datos personales almacenados en su empresa. Mantenga una lista actualizada / registro para inspección y auditoría. Esto se convertirá en la fuente de solicitudes de datos en el futuro.
  • Haga un plan de violación de datos.
  • Haga una evaluación de riesgos de datos.
  • Ejecutar una ejecución de violación de datos en seco.
  • Actualice sus políticas y contratos para incluir el cumplimiento de GDPR
  • Tener un sistema implementado para procesar solicitudes individuales de información de su organización

 

Si necesita ayuda con la protección de datos, por favor, no dude en contactarnos en: +34 676 642 375 o en info@13node.com


En 13Node buscamos freelance con talento que quieran colaborar en nuestros trabajos y proyectos. Si eres diseñador, animador, programador web..., ponte en contacto con nosotros enviando tu portafolio a info@13node.com