¡Pide presupuesto en 2 min! ✓
InternetPágina web

Tratamiento de datos a través de páginas web

5 Mins read

En la sección de informes jurídicos de la AEPD existe uno específico sobre tratamiento de datos a través de páginas web que viene a decir que en caso de recogida de datos básicos es suficiente  incluir en un formulario un enlace de Aviso Legal.

El deber de información regulado en la LOPD establece que los interesados a los que se soliciten datos personales deben ser informados previamente de modo expreso, preciso e inequívoco.

En el caso de que la recogida se realice a través de una web las obligaciones suelen cumplirse mediante formularios o cláusulas  a los que se accede a través  de enlaces como “Aviso Legal” o “Política de privacidad”. Puede ser interesante incluir algún enlace con los derechos ARCO de los interesados.

El consentimiento del informado debe recabarse de tal forma que resulte imposible la introducción de algún dato sin que antes el afectado haya conocido la advertencia, pudiendo servir como prueba del consentimiento  la acreditación d que el programa impide introducir datos sin antes haber aceptado el aviso legal.

Protección de datos en páginas web

El Reglamento General de Protección de Datos (RGPD) es una nueva regulación de la UE destinada a ayudar a fortalecer la protección de datos para los ciudadanos y residentes de la UE tanto dentro de la UE como en el resto del mundo.

Cualquier persona que recopile y procese datos personales deberá cumplir con las nuevas regulaciones. Además de las organizaciones que ejecutan sitios web o aplicaciones, esto también incluye a las organizaciones que usan bases de datos internas, CRM o incluso simplemente correo electrónico antiguo.

Entonces, ¿cómo puedes hacer para que tu sitio web cumpla con el RGPD?

Aquí tienes los principales requisitos para adaptar tu página web a la normativa de Protección de datos.

Transparencia e información

Una parte importante del RGPD se refiere a la transparencia y a informar a los interesados ​​(individuos) sobre qué y cómo se utilizan sus datos personales, por quién y por cuánto tiempo.

El RGPD requiere que los controladores de datos indiquen qué datos se están procesando y por qué razones. Además, están obligados a informar a los interesados ​​acerca de cuánto tiempo se almacenarán los datos. También deben indicar a quién debe contactar el sujeto con respecto a cualquier parte de las acciones de procesamiento de datos del controlador de datos.

Consentimiento

El interesado debe dar explícitamente el consentimiento al procesador de datos antes de que sus datos puedan procesarse. Además, los datos solo deben usarse para los fines en que se ha otorgado el consentimiento.

Por ejemplo, si alguien te contacta a través de tu sitio web con una consulta de algún tipo, eso no te da permiso para agregarlos a tu lista de marketing por correo electrónico.

El padre o tutor del menor debe dar su consentimiento verificable antes de que sus datos puedan ser utilizados. El consentimiento debe poder ser retirado por el interesado en cualquier momento.

Seudonimización

El RGPD hace referencia a algo llamado seudonimización. En pocas palabras, este es un proceso para transformar datos de una manera que impide que se atribuyan a un sujeto de datos (un individuo) sin el uso de información adicional.

Un ejemplo de esto podría ser el uso de una ID de referencia única para alguien en lugar de su nombre al almacenar sus datos en una base de datos. Luego se usaría una segunda tabla de nombres y las ID correspondientes almacenadas en un sistema separado para unir las tablas y recrear los datos. De esta manera, si ocurriera una violación de datos y los datos personales fueran robados, los datos no expondrían los nombres reales solo los datos adicionales.

Esta es la parte más ambigua del RGPD, ya que se basa en cómo interpreta la pseudonimización. Un ejemplo de pseudonimización mencionado con frecuencia es el cifrado mediante el cual los datos se almacenan de forma cifrada y requieren una clave (almacenada por separado) para descifrarlos.

Los sitios web que usan HTTPS envían datos a través de una conexión encriptada, por lo que podría decir que si tu sitio web tiene un certificado SSL, estás cumpliendo con el RGPD, pero los datos en la base de datos en sí misma probablemente se almacenen sin encriptar, por lo que si la base de datos fue violada los datos aún estarían expuestos.

Violación de datos

El GDPR requiere que el controlador de datos tenga procesos adecuados definidos y establecidos en caso de una violación de datos. Dependiendo de la gravedad de la violación, el controlador de datos tiene la obligación legal de informar a la aepd sobre una brecha que implique la violación de datos (de datos identificables o no seudonimizados) dentro de las 72 horas.

DPO

Todas las autoridades públicas y cualquier organización que procese datos personales en una escala significativa deben designar un Delegado de Protección de Datos (DPO) responsable de monitorizar el cumplimiento interno de las regulaciones del RGPD dentro de la organización.

Incluso si no crees que tu organización pertenece a esta categoría, creemos que es una buena idea designar un DPO para tu organización. Esta persona puede mantener la protección de datos en la agenda de la organización y garantizar que se cumpla y se mantenga el cumplimiento del RGPD.

Privacidad por defecto

Otra parte importante del RGPD es la idea de que los sistemas digitales incluyen privacidad por diseño (también conocida como privacidad por defecto). En pocas palabras, la privacidad de los usuarios debe considerarse plenamente en el núcleo de cualquier sistema digital.

De forma predeterminada, la configuración de privacidad debe establecerse en su nivel más alto con opciones dadas por el usuario para degradar esto si así lo desea. Como muchos usuarios de redes sociales saben, ¡las redes sociales a menudo funcionan de manera opuesta a esto!

Los controladores de datos también deben asegurarse de que los datos solo se procesen cuando sea absolutamente necesario.

Auditoría de Protección de datos

Una auditoría de datos personales te ayudará a identificar todos sus procesadores de datos. Haz una lista de todos los procesadores de datos de terceros.

Para cada procesador de datos considera lo siguiente:

  • ¿Para qué estás usando los datos?
  • ¿Dónde se almacenan los datos?
  • ¿Todavía necesitas los datos?

Para cada uno de los procesadores de datos de terceros, verifica sus políticas de privacidad respectivas y asegúrate de que cumplan el RGPD.

Los procesadores de datos con sede en EE. UU. deben cumplir con Privacy Shield. Si el tercero aún no cumple con el RGPD o el Escudo de privacidad, comunícate con ellos y descubre si y cuándo planean cumplirlo. En la situación poco probable en la que un procesador de datos de terceros no cumple el RGPD, debes buscar reemplazarlo con un proveedor similar pero compatible.

En esta situación, también debes solicitar al proveedor actual una copia de los datos que tienen y luego insistir en que eliminen de forma segura sus datos de todos sus sistemas digitales, incluidas las copias de seguridad.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Related posts
CiberseguridadInternet

Verificación en dos pasos, ¿qué es y cómo activarla?

8 Mins read
La verificación en dos pasos lleva formando parte de nuestras vidas varios años, incluso aunque no seamos muy conscientes de ello, por…
CiberseguridadInternet

Qué son los servidores DNS privados y por qué mejoran tu seguridad

5 Mins read
Aunque navegues habitualmente por la Red, es posible que nunca hayas oído hablar de los servidores DNS o, sí lo has hecho,…
Internet

¿Cómo usar la app "Find My" para encontrar tu iPhone?

4 Mins read
Perder nuestro iPhone es no solo un problema, sino también un motivo de preocupación, más allá del valor económico del terminal, este…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.