Nuevas reglas para el trabajo con datos personales de los europeos.

Los sitios que trabajan con clientes de países de la UE pueden recibir recientemente multas de hasta 20 millones de euros si no comienzan a cumplir con las nuevas regulaciones sobre datos personales de GDPR. Todavía no hay víctimas, pero esta no es una razón para violar la ley. Mejor seguro :-)

El Reglamento general de protección de datos (GDPR) es un reglamento extraterritorial que protege la seguridad de los datos de todos los ciudadanos de la UE. Si recopila, almacena o procesa datos personales (incluidas las cookies) de al menos un cliente de Europa, debe cumplir con las regulaciones independientemente del lugar en el que esté registrado el sitio y la empresa.

Si tiene un sitio que funciona exclusivamente en Rusia, no puede preocuparse por el cumplimiento de los requisitos de GDPR. Sin embargo, no debemos olvidar que 152-FZ "Sobre datos personales" está vigente en Rusia (la versión actualizada entró en vigor el 1 de julio de 2017), lo que de alguna manera repite los requisitos de GDPR y también limita el trabajo con información personal de los clientes.

Quién necesita una política de privacidad en el sitio y cómo desarrollarla

¿Qué son los datos personales?

Una lista específica de información que se considera información personal no se proporciona en ningún lugar. Los datos personales son cualquier información sobre una persona, que puede usarse para identificar a su persona directa o indirectamente.

Principios básicos de la regulación y los derechos de los sujetos de datos personales.

En resumen, todas las reglas se pueden formular como franqueza y respeto por la información personal de sus clientes. Aquí hay cinco principios básicos:

  • El principio de legalidad, justicia y transparencia: Declare abiertamente todos los métodos de recopilación y procesamiento de datos personales en su política de privacidad.
  • El principio de limitar el objetivo: Indique claramente por qué está recolectando estos datos.
  • El principio de las restricciones de almacenamiento: Especifique el período de retención: no es posible almacenar datos personales más tiempo del necesario para alcanzar los objetivos indicados.
  • El principio de minimización de datos: Permitido cobrar solo el mínimo necesario para sus fines.
  • Principio de integridad, confidencialidad y exactitud. datos recogidos. Los datos deben ser correctos y confidenciales.

Por lo tanto, cada residente de los países de la UE tiene una serie de derechos que debe respetar:

  • saber qué datos personales se recopilan (cuáles, con qué fines y durante cuánto tiempo se almacenarán);
  • Solicítalos a la empresa;
  • Exigir eliminar todos los datos (el llamado derecho al olvido).

Lo que el propietario del sitio necesita hacer

  1. Compruebe que el sistema de CRM que utiliza proporciona los derechos básicos de sus clientes, es decir, le permite:
    • proporcionar información sobre los datos personales recogidos,
    • modificarlo y complementarlo;
    • eliminar datos a petición.

Curiosamente, existe el "derecho a la portabilidad de datos" (derecho a la portabilidad de datos). Esto significa que a petición del sujeto de los datos personales, debe transferir todos sus datos a una tercera organización, lo que simplifica la transferencia de un cliente de una empresa a otra. Prepárate para esto

  1. Avisar sobre la recopilación de información. Basta con colocar una placa con texto en la parte inferior de la página con el espíritu de "recopilamos cookies para personalizar el contenido del sitio. Si continúa utilizando el sitio, está de acuerdo con esto".

Aquí, por ejemplo, cómo advierte Meduza sobre el uso de cookies. El enlace lleva al artículo.

  1. Solicitar confirmación para enviar correos. En marketing por correo electrónico esto se llama doble opt-in. Al enviar una carta con el texto "haga clic en el botón para confirmar el consentimiento del boletín", recibirá explícitamente el consentimiento del usuario y demostrará que recibió este correo electrónico honestamente (y no lo compró, por ejemplo, la base de datos de correo no deseado).

Aquí está la carta de suscripción doble estándar de Mailchimp:

  1. Pedir a los usuarios el consentimiento para la recopilación de datos personales. GDPR requiere que los usuarios den su consentimiento para el procesamiento de datos personales de forma explícita (como en el ejemplo anterior). Para ello, coloque una marca de verificación junto al formulario de recopilación de datos, haciendo clic en el que el usuario acepta el procesamiento de sus datos personales. Tenga en cuenta que esta casilla de verificación no se puede presionar de forma predeterminada; el usuario debe hacerlo por su cuenta.
  1. Informe de pérdida de datos. Los datos personales de sus clientes deben ser cuidadosamente monitoreados y almacenados en un lugar seguro. Si la información llega a terceros para los cuales no fue diseñada (se le piratea, se filtra debido a un descuido o se la pierde de alguna otra forma), debe informar a los usuarios de esto en un plazo de cinco días. Por supuesto, este no será un evento tan importante como el sensacional Facebook de Facebook que se filtró en marzo, pero aún así es poco placentero.

¿Qué pasará con el incumplimiento?

Al igual que con cualquier violación, se considerará la gravedad, el número de víctimas y las causas. La multa máxima por incumplimiento del reglamento puede ser de hasta veinte millones de euros, o el 4% de la facturación anual de la empresa. Sin embargo, no caiga inmediatamente en un pánico, este es el nivel máximo que no se aplicará para la primera violación. Por primera vez, es probable que se le advierta y se le solicite que todo se ajuste a las regulaciones. También puede obtener una prohibición o restricción en el procesamiento de datos personales, y solo como último recurso una multa (no necesariamente multimillonaria).

Además, el incumplimiento de las leyes puede afectar su reputación y confianza en la empresa. Nadie quiere suscribirse a su boletín y luego recibir contenido incomprensible de organizaciones de terceros.

Para proteger los derechos de los usuarios en cada país de la UE, se han creado autoridades especiales de Autoridades de Protección de Datos (DPA), y los países que no pertenecen a la UE deben designar a un representante en Europa que interactúe con DPA. No se divulgan los detalles del trabajo con países que no han designado un representante. Tampoco se sabe a ciencia cierta cómo las empresas fuera de la UE serán responsables de las infracciones. Pero es importante entender que, a pesar de esta ambigüedad, las reglas no deben ignorarse.

No hay precedentes para esta ley. Sin embargo, es mejor cumplir todas las prescripciones y tener confianza en ti mismo.

Mira el video: 9 Sorprendentes datos de la vida de una niñera de la realeza (Octubre 2019).

Deja Tu Comentario