GDPR para eCommerce

lunes, julio 9th, 2018

El pasado 25 de Mayo entró en vigor la nueva Ley GDPR en Europa, asi que nos preguntamos ¿Que necesito para que mi sitio ecommerce cumpla con la GDPR?

Como dueño de un negocio eres un controlador de datos. Tu desarrollador web, hoster, y herramientas de marketing saas (mailchimp, etc …) son procesadores de datos. El controlador de datos es el completo responsable de los datos personales que guarda. De todas maneras, si se demuestra que tu procesador de datos ha sido negligente, también son responsables.

Todos sus procesadores de datos y subprocesadores deben cumplir con GDPR.

GDPR cubre todos y solo los datos personales almacenados en su organización y con sus procesadores de datos externos.

La GDPR no omite otras leyes. Por ejemplo, si debes guardar datos personales para justificar las facturas, entonces esto debe mantenerse por motivos legales.

¿Entonces que tengo que hacer?

Designe a un miembro del equipo para que se encargue de la protección de datos. Obtenga capacitación en protección de datos y una certificación. Por lo general, este es alguien a nivel de Junta, ya que requerirán un seguro de indemnización para cubrir la responsabilidad de esta función. Si se le pide a un miembro no miembro de la junta que asuma este rol, asegúrese de contar con un seguro de indemnización personal. En algunos casos, los Controladores de datos pueden ser considerados personalmente responsables de las violaciones de datos.

1. Actualiza tu Política de Privacidad

  1. Incluye una línea dedicada al GDPR
  2. Especifica que información recolectas y almacenas de los visitantes de tu sitio web. (por ejemplo: dirección ip, información del dispositivo, información de acceso, cookies, duración de la visita y rastreo, ratón y movimientos, email, teléfono, nombre, dirección y dirección de facturación)
  3. Especifica como y donde procesas esa información personal. (las cuentas, marketing, reporte de ventas, etc…)
  4. Especifica quien tiene acceso a estos datos personales. (por ejemplo, tu, mailchimp, google, etc ….)
  5. Especifique los datos de contacto del oficial de protección de datos asignado en su organización.
  6. Especifica como puede acceder el usuario para la modificación de los datos personales.
  7. Especifica cuanto tiempo guardarás la información personal.NOTA: Usando frases como “podríamos usar tu información” no está aceptanto la ley, porque no es explícito. Los pemisos deben ser explícitos y claros.

2. Elimina todos los opt-ins automáticos de tu sitio.

Todas las check boxes deben estar vacias en tus formularios online. Una caja vacía no implica aceptación. Acepta todo via checkbox debe ser explícito y guardado. Recomendamos que cuando un usuario acepta los términos y condiciones, una copia de estos esten guardados junto a los datos del cliente. De esta manera tendrán un registro explícito de lo que el cliente aceptó.

3. Guarda solo informacióm que requieres para que funcione tu negocio.

“Si no tienes la información, no necesitas protegerla”

Elimine la información personal que tenga en servidores, hojas de Excel, etc. que ya no use. Esto incluye correos electrónicos con archivos adjuntos de información personal.

Solo guarde una versión de información personal. Puede conservar copias solo con fines de copia de seguridad y restauración. Se aceptan hasta 4 copias de seguridad. Si conserva más necesita ser justificado. La ubicación de las copias de seguridad debe registrarse en su auditoría de datos.

Recopilar información adicional en caso de que pueda usarla en el futuro no es lícita. La información que tiene sobre personas para las que no tiene uso debe borrarse.

La información personal que recopile debe tener un uso legítimo.

4. Todas las infracciones de datos deben registrarse y aplicarse con una medida preventiva dentro de las 72 horas.

Ejemplos de violaciones de datos.

5. Tener un proceso de violación de datos y un plan establecido.

“Una violación de datos manejada incorrectamente puede causar daño incalculable a su marca.

Tenga un plan de acción en funcionamiento y ejecute los peores escenarios posibles para evaluar su plan.

6. Tener un proceso establecido para cuando alguien está buscando una copia de sus datos. (Solicitudes de acceso a datos de sujeto)

“Tengo una solicitud para que todos sus datos personales que tenga sobre una persona estén expuestos a ellos, ¿qué debo hacer?”

7. Derecho a ser olvidado, como manejar esta petición.

“El señor D. Trece ha pedido que lo olviden en mi organización, ¿qué debo hacer?”

Nota: es posible que deba conservar la información personal para otros fines legítimos, como cuentas, llevar un registro de quién compró los productos prescritos, etc. Por lo tanto, una solicitud de eliminación no significa necesariamente una eliminación instantánea.

8. Retiro de permiso para procesar datos personales después de una transacción de comercio electrónico

“El Sr. D. Trece ha pedido que sus datos no se procesen después de que se envíen sus productos, ¿qué debo hacer?

9. Solicitud de datos personales en un formato portátil transferible.

“El Sr. D. Trece ha pedido una copia de sus datos personales, ya que lo necesita para otro servicio”.

10. Actualice sus contratos, Acuerdos de Confidencialidad y políticas de privacidad en su sitio web.

Todo el personal debe haber firmado el Acuerdo de Confidencialidad y la capacitación de protección de datos. Una buena regla empírica es incluir a todo el personal, incluso si no tienen acceso directo a la información personal en el curso normal de sus funciones.

Todos los contratos de los clientes deben actualizarse con una cláusula GDPR.

11. Tener un plan ante una brecha de datos.

Cuando se produce una violación o incumplimiento del GDPR con los datos, debe hacerlo en las siguientes 72 horas.

Dependiendo de la escala y el tipo de incumplimiento, la oficina de Data Commissioners puede evitar que procese datos hasta que investiguen más a fondo la violación.

Esto podría impedirle procesar pagos, emitir facturas y ventas. Incluso si no se impone una multa, la interrupción de su negocio.

¿Esto parece mucho trabajo extra para el dueño de un negocio?

Es una buena oportunidad para hacer una limpieza de datos y asegurarse de que todos sus subcontratistas sean honestos, y de que tenga contratos válidos con sus clientes.

Esto solo se aplica a las grandes empresas, ¿nunca controlarán una pequeña empresa no?

¡¡ Incorrecto !! Es posible que la oficina del comisionado de protección de datos no lo audite en este momento, pero puede hacerlo en cualquier momento en el futuro. Si y cuando tiene una violación de datos debe informar esto a la oficina de comisionados de datos. No hacerlo es ilegal. Puede ser demandado por no proteger sus datos personales correctamente. Si se determina que sus procesos son defectuosos, entonces usted es responsable de grandes multas así como de la pérdida de reputación y pérdida de negocios.

Lo que ya no puedes hacer

1. No puede enviar correos electrónicos no solicitados a nadie. No más listas compradas o listas de fusión de diferentes compañías en otras listas
2. No se puede enviar un correo electrónico automático desde los carritos de la compra Abandoned que ofrecen descuentos a menos que el comprador haya optado por el correo electrónico en la parte superior de la caja.
3. No puede negarse a dar a los clientes sus datos personales si los ha pedido.
4. No puede enviar mensajes de texto no solicitados a través de números de teléfono móvil.

En resumen

Este es un breve resumen de GDPR desde el punto de vista del comercio electrónico. Es aconsejable tener 1 persona en su organización que tenga certificación de protección de datos.

 

Si necesita ayuda con la protección de datos, por favor, no dude en contactarnos en: +34 676 642 375 o en info@13node.com


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

En 13Node buscamos freelance con talento que quieran colaborar en nuestros trabajos y proyectos. Si eres diseñador, animador, programador web..., ponte en contacto con nosotros enviando tu portafolio a info@13node.com