Cumplir con el GDPR puede ser terriblemente frustrante, ya que tienes una increíble cantidad de información flotando por todas partes en la web.
Algunos de los contenidos que se encuentran en Internet son confusos y no aportan los detalles que realmente necesita para cumplir la normativa. Una lista de comprobación del GDPR bien elaborada es oro puro, porque te ofrece un paraguas contra las multas anunciadas.
Aunque cumplir con el GDPR parece mucho trabajo, organizar y estructurar esa carga de trabajo puede facilitar considerablemente las cosas.
Una lista de control es el primer paso para cumplir la nueva normativa. Al fin y al cabo, por algo hay que empezar.
La piedra angular del GDPR es el consentimiento. Antes del GDPR se necesitaba el consentimiento, pero era mucho más sencillo obtenerlo. Ahora, en el contexto de la nueva normativa, obtener el consentimiento ya no es algo seguro. El GDPR establece claramente que, a menos que haya un interés legítimo de por medio, hay que conseguir que los clientes digan sí de forma explícita, utilizando un lenguaje sencillo y aclarando las razones por las que se solicita el consentimiento. El usuario debe saber exactamente para qué se van a utilizar sus datos personales y quién los va a utilizar.
Tener interés legítimo no equivale a tener consentimiento, ya que los datos obtenidos no pueden utilizarse para fines distintos de los implícitos.
Una vez obtenido heroicamente el consentimiento, debe registrarlo y salvaguardarlo, estando además preparado para entregarlo cuando se le solicite como tal. Hasta aquí todo bien, pero en términos de cumplimiento del GDPR, ¿qué significa exactamente?
Bueno, hablando claro, tendrás que invertir algo de dinero o tiempo en desarrollar un nuevo diseño de solicitud de consentimiento, olvidarte de esas casillas previamente marcadas, proporcionar a los usuarios amplia información sobre tus acciones, actualizar tus términos y condiciones, y dejar de esconderlos en la letra pequeña. ¿Está de acuerdo?
Sin integraciones de terceros. Sin costes ocultos. Sin pérdidas de tiempo.
Una solución tan única como las necesidades de su empresa.
Con esta ley de protección de datos recientemente mejorada, el titular de los datos, es decir, cualquier persona identificable, ha adquirido un buen número de derechos interesantes, de ahí DSR, que en realidad es la abreviatura de Data Subject Rights (Derechos del Titular de los Datos). Todos ellos son sencillos y comprensibles, pero durante la última década nunca les hemos prestado la debida atención.
Si así fuera, seguramente entraríamos en modo pánico y sentiríamos la necesidad expresa de idear estrategias de marketing alternativas. Sin embargo, estos derechos son los que le harán pasar completamente de ser una empresa rebelde a una que cumple con el GDPR. Así que, tomémoslos de uno en uno y veamos qué hacer a continuación.
Necesitas almacenar y organizar toda la información que tienes sobre tus clientes. No basta con enviarles un correo electrónico con números y letras. Hay que ofrecer a los clientes información estructurada, fácil de comprender y en un formato común.
En términos de cumplimiento, puede imaginarse que esto implica diversas inversiones en nuevas herramientas que, o bien faciliten el acceso a los usuarios, o bien estructuren la información que se tiene sobre ellos y agilicen el proceso, optimizándolo lo mejor posible.
Sin entrar en discusiones filosóficas sobre la condición humana, las personas tienen este derecho y usted está obligado a proporcionarles el marco.
Si recibe una solicitud de supresión, debe ponerla en práctica. La parte delicada aquí es el plazo, ya que se menciona que el responsable del tratamiento debe actuar "sin dilaciones indebidas". En lenguaje llano, esto significa rapidez, pero en lenguaje jurídico, las cosas son un poco confusas. Sólo cabe suponer que la idea es actuar con rapidez.
Ahora, pensando en la implementación, es vital entender que cuando el individuo pide ser olvidado, necesitas borrar todos los datos existentes que tengas sobre él y esto incluye copias, almacenados en la nube o recogidos por terceros.
Por tanto, se le exigirán sistemas que identifiquen rápidamente los datos, las ubicaciones en las que están almacenados y garanticen un borrado rápido.
A partir del 25 de mayo, todos los usuarios podrán solicitar la corrección de sus datos.
Hay que encontrar la manera de que puedan hacerlo. Una vez más, cumplir con el GDPR significa invertir en herramientas.
Esto implica que usted está obligado a enviar todos los datos que tenga sobre una persona a una organización diferente, en un formato estructurado y de uso común, en caso de que el interesado se lo pida.
Como era de esperar, esto exigiría, por supuesto, montar un sistema robusto, a través del cual la portabilidad pueda hacerse fácilmente.
Esto implica que usted está obligado a enviar todos los datos que tenga sobre una persona a una organización diferente, en un formato estructurado y de uso común, en caso de que el interesado se lo pida. Como era de esperar, para ello es necesario crear un sistema sólido que facilite la portabilidad.
Aunque usted haya obtenido el consentimiento, el usuario podría cambiar de opinión y decidir en su contra, oponiéndose al hecho de que usted esté tratando datos personales. En esta situación, no tienes otra alternativa que cumplir y dejar de tratar los datos personales.
Así que ha detectado una brecha en el sistema. Es hora de preguntarse: ¿Qué se espera de mí en virtud del GDPR?
Si llega ese día, tan pronto como note la brecha debe identificar la amenaza. Empieza a actuar como si te estuvieran atacando.
En primer lugar, hay que tener en cuenta la amenaza. Si se cree que la violación de datos es una amenaza para los usuarios, el responsable del tratamiento de datos debe informar a la Autoridad de Supervisión del RGPD en un plazo de 72 horas a partir de la identificación de la violación. Posteriormente, también deberá informar a los usuarios.
Se le concede el permiso. Tu cliente ha dicho "sí, quiero" a la pregunta del consentimiento. No se haga ilusiones, aunque hoy en día pedir el consentimiento parece más difícil que cualquier otra cosa. Ahora, tienes que asegurar todos esos datos personales. Asegúrate de que los datos personales del usuario están bien cuidados, salvaguardándolos a través de diversos medios como la encriptación o la anonimización. Vas a utilizar datos personales, ¡tranquilo! Simplemente tendrás que hacerlo de otra manera. La mejor manera de utilizar datos personales sin poner en riesgo la seguridad es mediante la seudonimización. Los datos siguen estando a salvo, pero puedes analizarlos, lo que convierte a este método en la combinación definitiva.
No hay que confundir las cosas aquí, ya que la anonimización y la seudonimización son dos conceptos completamente diferentes. El GDPR los unió bajo el paraguas de la seguridad por una buena razón.
Mientras que la anonimización destruye por completo cualquier posibilidad de identificar al usuario, la seudonimización, este asesino del Zodiaco del mundo de la informática, sustituye la identidad del interesado por información adicional, creando un lenguaje codificado. Los datos siguen estando protegidos, pero pueden utilizarse con fines de investigación.
Sin integraciones de terceros. Sin costes ocultos. Sin pérdidas de tiempo.
Una solución tan única como las necesidades de su empresa.
El GDPR conlleva muchos cambios. Pedir el consentimiento es obligatorio, al igual que almacenar y salvaguardar los datos recibidos. El usuario tiene el poder y, por mucho que se intente, no hay forma de recuperarlo. Se trata de adaptarse al nuevo orden.
Elabore nuevas estrategias de marketing, empiece a invertir en herramientas para mejorar sus sistemas ya existentes y organice los datos que ya tiene para optimizar y racionalizar aún más su procesamiento futuro. Se avecinan tiempos de gran estrés, pero con un plan sólido, una mente organizada, esta lista de comprobación y un equipo de magos de las TI muy trabajadores, el cumplimiento del RGPD está más que hecho.
Descargo de responsabilidad: Tenga en cuenta que este artículo no debe tratarse como asesoramiento jurídico en el cumplimiento del GDPR. El único propósito de este artículo es facilitar una mejor comprensión de la ley de privacidad de datos de la UE aprobada.
Si necesita asesoramiento jurídico al respecto, le instamos a que busque la ayuda de un abogado, que podrá aplicar el RGPD a las necesidades específicas de su empresa.