Tabla de contenido:
Video: ¡ATENCIÓN! Cambios en la ley de cookies 2020 - Cómo evitar las multas si utilizas Google Analytics (Noviembre 2024)
A estas alturas ya ha oído hablar del GDPR, que es el Reglamento General de Protección de Datos de la Unión Europea (UE). El RGPD se adoptó para proteger la información personal de los usuarios europeos de la divulgación no autorizada y el uso indebido. Como tal, el RGPD establece límites muy estrictos sobre dónde se pueden almacenar los datos de los ciudadanos de la UE, cómo se pueden usar, cuánto tiempo se pueden conservar y cómo se protegen.
Lo que esto significa es que es mejor que se olvide de los negocios europeos por un tiempo, a menos que esté seguro de que puede cumplir con las normas. La UE tiene un excelente sitio web que explica el proceso. Si planea hacer negocios en Europa, entonces usted y su personal de TI deben leer este sitio web.
Pero si es una gran empresa que ya está haciendo negocios en la UE, es probable que ya conozca los requisitos y probablemente esté en camino de demostrar el cumplimiento de las normas.
Pero ¿y si no eres una de esas organizaciones? Bueno, lo más probable es que el GDPR aún te afecte. Tendrá que sentarse y mirar su situación para asegurarse. Aquí hay un vistazo rápido a las principales cosas que debe tener en cuenta.
Operaciones y protección de datos
Primero, mira tus operaciones. ¿Se dirige a cualquier tipo de esfuerzo de marketing, por pequeño que sea, a los ciudadanos de la UE? Esto podría ser algo tan simple como tener una versión de su sitio web en un idioma europeo o la capacidad de aceptar pagos en monedas europeas. ¿O recopila datos personales de cualquier tipo para cualquier propósito, incluso si no es para una transacción financiera?
Esto no significa que esté apuntando a los europeos si encuentran su sitio web en los Estados Unidos y compran algo vendido en dólares estadounidenses. Pero incluso entonces, debe tener cuidado con lo que hace con los datos y cuánto tiempo los guarda. Pero si espera vender regularmente a compradores europeos, puede ser una buena idea encontrar una empresa europea que atienda sus cuentas allí.
Mientras tanto, si cree que hay alguna posibilidad de que termine tratando con ciudadanos de la UE, sería una buena idea asegurarse de seguir las reglas con respecto a la protección y divulgación de datos.
Las reglas de protección de datos significan que debe proteger los datos de los ciudadanos de la UE contra pérdida, robo o divulgación. También debe deshacerse de los datos lo antes posible. Y si se infringe algún dato de ciudadanos de la UE, entonces tiene 72 horas después de que se descubra para informarlo a las autoridades europeas.
También debe revelar cómo planea usar los datos y cuánto tiempo planea conservarlos. Las revelaciones deben ser claras y simples y el ciudadano de la UE debe estar de acuerdo o no. Y hay algunas cosas que debe tener en cuenta acerca de la divulgación: no puede tener las casillas previamente marcadas por defecto y no puede utilizar esos documentos densos, interminables y legales de "Términos y condiciones" como su divulgación.
Un ciudadano de la UE puede optar por no estar de acuerdo con su divulgación y debe haber una forma de decir "no". Sin embargo, si la información que solicita es necesaria para proporcionar el bien o servicio (un número de tarjeta de crédito o dirección de envío, por ejemplo), entonces no tiene que vender el producto.
Tenga en cuenta que las reglas se aplican a ambas partes al finalizar la transacción, lo que significa que usted y la compañía de la tarjeta de crédito. Si planea vender cosas a los europeos, debe confirmar que el procesador de su tarjeta de crédito seguirá las normas GDPR para los clientes de la UE.
El derecho a ser olvidado
Y, por supuesto, está el famoso "derecho a ser olvidado". Debe poder eliminar el nombre y la información personal de cualquier ciudadano de la UE que lo solicite. Esto significa desde cualquier lugar, incluidas las copias de seguridad, donde esa información podría residir. Esto requerirá que se dé cuenta de dónde están sus datos y qué contiene, algo que probablemente no pueda hacer ahora.
Hay límites al derecho al olvido. Por ejemplo, si debe conservar algunos datos, como cumplir con algunos requisitos de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) o de la Comisión de Bolsa y Valores (SEC), entonces debe cumplir con los requisitos legales. Pero más allá de eso, debe poder eliminar dichos datos personales a pedido.
Si todo esto parece un dolor en el cuello, entonces puede que tengas razón. O podría considerar los requisitos de la UE para el GDPR como una oportunidad para simplificar sus operaciones de seguridad en su totalidad. Por ejemplo, si almacena y administra todos sus datos de una manera que cumpla con los requisitos del GDPR, entonces tendrá una operación mucho más segura.
Del mismo modo, si descarga esos documentos de "Términos y condiciones" de largo aliento e imposibles de leer y los reemplaza con declaraciones claras de intención y solicita un acuerdo, sus clientes lo apreciarán. Además, si deja de almacenar datos que realmente no necesita pero que se requiere proteger, entonces su vida se simplifica y se reduce el riesgo de una violación ya que los piratas informáticos no pueden robar lo que no está allí.
Siendo realistas, el RGPD codifica cuáles son realmente las mejores prácticas sobre cómo su organización maneja los datos de otras personas. Encontrar una manera de cumplir con esas reglas ayudará a su organización en general.
