Desde este mismo artículo doy comienzo a una serie en la que se va a tratar a fondo la adecuación de un sitio web a la nueva ley europea GDPR sobre protección de los datos de usuario.
En este primer capítulo explicaré qué es GDPR y revisaré brevemente las principales responsabilidades de los propietarios de un sitio web. Trataré de explicar el panorama general en este post y profundizaré en los detalles en los capítulos posteriores.
Si ya estás familiarizado con lo que es GDPR en general, puedes pasar al siguiente capítulo y comenzar a hacer que tu sitio web cumpla con los requisitos necesarios para adecuarse al nuevo marco legal: GDPR, comenzando con su cumplimiento.
¿Qué es el GDPR?
GDPR significa Regulación General de Protección de Datos (General Data Protection Regulation). Es una legislación que tiene como objetivo proteger la privacidad de todos los ciudadanos de la Unión Europea. GDPR obliga a las empresas y organizaciones a realizar cambios importantes en la forma en que gestionan los datos personales de sus clientes y usuarios, por lo que afecta a sus procesos comerciales y a su software. Es un sistema completo de principios, derechos y obligaciones con el que tendrás que estar familiarizado. GDPR se aplicará a partir del 25 de mayo de 2018.
GDPR tiene una definición muy amplia de datos personales. Si tienes un sitio web, es muy probable que debas realizar algunos cambios en ella. También debes tener en cuenta que GDPR es retroactivo. Esto significa que se aplica a todos los datos de clientes que ya tienes almacenandos y que estás utilizando, incluso si se recopilaron antes del 25 de mayo de 2018.
Técnicamente, GDPR se aplica a todas las personas que manejan los datos personales de los ciudadanos de la UE, incluso si no tienen su base en la UE.
A diferencia de las reglamentaciones anteriores de la UE con respecto a la privacidad (como la legislación que obliga a los sitios web a utilizar las molestas notificaciones «Este sitio usa cookies…»), GDPR tiene la piel fina y unas púas muy afiladas. Si no cumples con GDPR, podrías recibir una multa de hasta 20 millones de euros o el 4% de tu facturación anual, la que sea mayor. Así que está claro que la UE se toma muy en serio la privacidad y la protección de datos.
¿Cómo afecta el GDPR a tu sitio web?
A partir del 25 de mayo, los visitantes de tu sitio web tienen ciertos nuevos derechos. Para darte una visión panrámica del asunto, muy breve, que omite un millón de detalles: pueden solicitar una copia de todos los datos que estás almacenando, tanto en formato legible por máquina como por computadora. Podrán solicitarte que elimines todo. Necesitas tener una buena base legal para recopilar y usar cualquier información. Alternativamente, debes solicitar el consentimiento para cada propósito por separado. Tus clientes o usuaruos deben poder retirar el consentimiento que han otorgado en cualquier momento. Y estás obligado a informarles de todo lo que haces con sus datos, de todas las personas con las que compartes sus datos y de todos sus derechos con respecto a la nueva ley GDPR.
Básicamente, los datos personales de una persona siempre pertenecen a esa persona. Esto significa que deben tener control sobre ellos (con algunas excepciones).
Un punto importante es que si tu sitio web tiene comentarios o un formulario de contacto, significa que ya estás almacenando los datos personales de alguien. Por lo tanto, GDPR requiere que casi todos los propietarios de sitios web tomen medidas y se adapten al nuevo marco legal.
A tenor de este breve resumen, la situación puede no verse tan crítica. Pero como se he dicho anteriormente, esta no es la lista completa de los derechos y requisitos. Además, una vez que profundicemos en los detalles, verás que hay un montón de cosas que considerar y muchas dificultades técnicas que irán surgiendo. Pero no te agobies, estamos aquí para eso y lo vamos a ir viendo todo poco a poco.
¿Cómo afecta el GDPR a tu negocio?
GDPR también establece algunas nuevas reglas para tu negocio. Debes mantener un registro de todas las actividades de procesamiento de datos. Es posible que debas incluir a un Oficial de Protección de Datos en el organigrama de tu empresa. Necesitas tener contratos con todas las personas con las que compartes los datos del cliente. No puedes transferir datos de clientes a alguien que no cumpla con la ley GDPR. En caso de que se produzca una violación de datos (alguien más obtiene acceso a los datos de los clientes, por ejemplo, un sitio web pirateado o la computadora portátil de un empleado robado), debes notificar a la autoridad de supervisión local competente y posiblemente a tus clientes. Si almacenas una gran cantidad de datos o trabajas con datos confidenciales, es posible que te veas obligado a realizar una evaluación del impacto de protección de datos. Y tú eres el responsable de demostrar que cumples con GDPR ante tu autoridad supervisora.
Y nuevamente, esta tampoco es la lista completa de tareas.
Siguientes pasos
Te recomiendo empezar con el cumplimiento de GDPR en tu sitio web lo antes posible. Al hacer que tu sitio web sea compatible con esta nueva ley, es muy probable que te dés cuenta de que necesitas la ayuda de un desarrollador o un abogado. Sin embargo, a medida que se acerque el 25 de mayo, otros propietarios de sitios web harán lo mismo y es de esperar que tanto los programadores como los abogados tengan mucho trabajo en, al menos, los siguientes seis meses. Probablemente no quieras llegar tarde.
Permanece atento al siguiente capítulo en el que vamos a comenzar con el cumplimiento de GDPR