La fecha de entrada en vigor de la nueva normativa GDPR, el 25 de mayo de 2018, se aproxima rápidamente y es necesario que los sistemas que proveen servicios a través de Internet, tanto los radicados en Europa como los que presten servicios a usuarios en la UE, tengan habilitados los procedimientos que se establecen. ¿Estás preparado?
Este es un breve esquema de los principales aspectos de la ley que es necesario implementar en nuestros servicios:
Conceptos GDPR
- CONSENTIMIENTO.
En la obtención del consentimiento las compañías no pueden usar mensajes indescifrables con lenguaje legal. Debe ser tan fácil dar como quitar el consentimiento para propósitos concretos. Considerar funcionalidades de:
-
Solicitud
-
Registro
-
Gestión
- NOTIFICACIÓN DE BRECHA.
Se debe comunicar a los controladores y usuarios antes de 72 horas. Considerar funcionalidades de:
-
Recopilación de información
-
Notificaciones en tiempo y forma
- DERECHO AL ACCESO.
Los usuarios tienen derecho a obtener confirmación del controlador sobre los datos que han sido procesados. El proveedor del servicio debe facilitar de manera electrónica y gratis al sujeto del dato.
- DERECHO AL OLVIDO.
Cuando los datos no son relevantes para su uso original, el usuario puede pedir al controlador que borre y cese la diseminación de los mismos (afecta a terceros).
- PORTABILIDAD DE DATOS.
Permitir al usuario obtener y reusar sus datos personales para sus propios propósitos y transferirlos a otras plataformas tecnológicas.
- PRIVACIDAD DESDE EL DISEÑO.
El diseño del modelo de datos de las aplicaciones debe estar construido con la privacidad como uno de los pilares principales.
- DATA PROTECTION OFFICER.
Perfil responsable de la gestión de GDPR en administraciones públicas y empresas de más de 250 empleados.
Funcionalidades técnicas que deben estar presentes en tus sistemas
Desde Acilia queremos facilitaros la labor y hemos preparado este checklist con el cual podréis facilmente chequear si estáis cumpliendo GDPR o qué iniciativas se deben abordar en vuestra organización para tener todo el espectro cubierto.
Hemos indicado en cursiva y con la nota “proceso” todo aquello correspondiente a un procedimiento o política corporativa que se debe considerar aunque no forme parte de la funcionalidad técnica.
1 PEDIR CONSENTIMIENTO
La solicitud de consentimiento es prominente y está separada de los términos y condiciones de registro.
Por defecto, las casillas de verificación que solicitan consentimiento no están seleccionadas.
Al procesar los datos personales de un usuario (sujeto de datos) para múltiples propósitos, se debe obtener el consentimiento para cada propósito.
Está claramente comunicado e intuitivo para los usuarios que pueden actualizar, gestionar o retirar su consentimiento en cualquier momento a través de un formulario de autoservicio.
Las medidas de consentimiento de los padres y verificación de la edad están vigentes cuando se ofrecen servicios directamente a los niños.
2 REGISTRO DE CONSENTIMIENTO
Los registros de consentimiento, que incluyen cómo y cuándo se proporcionó el consentimiento, se almacenan automáticamente en un entorno seguro.
El propósito del procesamiento y el lenguaje de consentimiento que el usuario ha aceptado se almacena en el momento en que se proporciona el consentimiento para fines de auditoría.
Los metadatos relevantes asociados al consentimiento, es decir, la dirección IP, la geolocalización, el tipo de navegador y el tipo de dispositivo se registran junto con el consentimiento.
La aceptación de los Términos de Servicio (ToS) y la versión de ToS se registran en el momento del registro, incluso si se usa una identidad social para registrarse.
3 GESTIONANDO EL CONSENTIMIENTO
Se han implementado procesos automatizados para obtener el consentimiento actualizado de los usuarios a medida que los procesos comerciales y las estrategias de utilización de datos cambian y evolucionan.
El perfil de autoservicio del usuario y la administración de preferencias están disponibles para agilizar las actualizaciones de los datos del perfil, las preferencias y el consentimiento.
Los usuarios pueden retirar su consentimiento en cualquier momento desde un panel de fácil acceso y autoservicio.
Los sistemas de comercialización, ventas y servicios que procesan datos personales son notificados de la solicitud de retirar el consentimiento y pueden responder en tiempo real para reflejar los cambios.
Una línea de auditoría de consentimiento se gestiona de forma segura y de fácil acceso (procesos).
4 SISTEMAS DE DATOS DE USUARIO
Todos los sistemas que pueden almacenar o procesar datos de usuario han sido identificados y auditados (procesos).
Los derechos de datos de usuario se han aplicado a todos los sistemas que se han identificado como almacenamiento o procesamiento de datos de usuario (procesos).
Se ha determinado un uso razonable y un tiempo de almacenamiento para los datos del usuario (procesos).
El hosting de datos y las comunicaciones de transferencia de datos requeridas por cada tercero o sistema interno se han determinado y se han establecido sistemas de notificación (procesos).
5 DERECHOS DE DATOS DE USUARIO
Los usuarios tienen la posibilidad de acceder a sus propios datos y realizar cambios en cualquier momento. (Derecho de acceso a la información)
Los usuarios tienen la posibilidad de acceder a sus propios datos y corregir las inexactitudes. Los usuarios también pueden comunicarse con la empresa para cambiar cualquiera de estas imprecisiones en cualquier momento. (Derecho a la rectificación)
Los usuarios tienen la capacidad de acceder y borrar sus propios datos en cualquier momento, incluido el registro completo del usuario. (Derecho a ser olvidado)
Los usuarios tienen la posibilidad de acceder a sus propios datos, incluidas las preferencias sobre comunicación de marketing y opt-ins. (Derecho a retirar el consentimiento)
Los usuarios tienen la capacidad de acceder a sus propios datos, incluidas las preferencias en torno a la comunicación de marketing automatizada personalizada. (Derecho a prevenir la toma de decisiones automatizada y el perfil)
Los usuarios pueden acceder y descargar sus datos en cualquier momento. (Derecho a la portabilidad de datos)
Los usuarios pueden optar por congelar sus cuentas en cualquier momento excluyendo se así de procesos futuros. (Derecho de congelar cuentas)
Los usuarios pueden ver opciones relacionadas con sus derechos y cambiar sus decisiones de consentimiento en cualquier momento de manera automatizada.
6 PRIVACIDAD MEDIANTE MEJORES PRÁCTICAS DE DISEÑO
La empresa ha revisado cuánto tiempo se deben mantener los datos del usuario antes de eliminar automáticamente los registros que ya no se usan (proceso). Script de borrado automático al permanecer el dato inactivo durante un determinado tiempo.
La empresa procesa y almacena solo datos que son relevantes para los servicios que se brindan (proceso).
Los datos se almacenan y transportan de acuerdo con las prácticas más recientes de la industria de seguridad de la información para proteger la información del usuario y los datos contra el incumplimiento.
El proceso de registro articula claramente qué atributos de datos se almacenarán y cómo se usarán esos datos (proceso).
Proporcione funciones de seguridad adicionales como MFA, protocolos seguros (HTTPS, TLS) y el uso de encriptación para proteger y acceder a los datos del perfil.
Cumpliendo estos puntos estás seguro frente a GDPR. En Acilia Internet desarrollamos soluciones para GDPR y mucho más, si crees que te podemos ayudar, déjanos tu correo y nos pondremos en contacto contigo.