El reglamento general de protección de datos de la UE es un desafío para muchos empresarios. Por supuesto, los requisitos dependen de si eres el jefe de una gran corporación o el propietario de una empresa unipersonal. Para los blogueros y emprendedores online en particular, es difícil seleccionar lo esencial de la jungla de requisitos. Para simplificarlo, vamos a crear una lista de verificación de RGPD para bloggers y emprendedores online.
Lo primero es lo primero: soy un responsable externo de protección de datos para varias empresas medianas y he estado trabajando intensamente en la protección de datos durante meses. A pesar de todo, este artículo y la lista de verificación no pueden reemplazar el asesoramiento legal individual.
¡Vamos con algunos puntos clave!
¿Tu sitio web tiene un certificado SSL?
¿Ha tomado medidas para proteger tu blog o sitio web contra piratas informáticos o terceros no autorizados (derechos de archivo seguros, contraseñas seguras, instalación regular de actualizaciones de seguridad, etc.)?
¿Has firmado un contrato de procesamiento de datos con tu proveedor de alojamiento?
¿Utilizas una herramienta de análisis?
Si es así, ¿cuál? (por ejemplo, Google Analytics, Piwik o WordPress.com-Stats)
¿Se anonimizan las direcciones IP?
¿Los datos están en tu servidor o en un tercero?
Si es un proveedor externo, ¿están los datos adecuadamente protegidos? ¿Has firmado un contrato para el procesamiento de datos de pedidos (contrato ADV) con el proveedor externo?
¿Te has asegurado de que los usuarios puedan oponerse a la colección con un clic (el enlace debe estar en la política de privacidad)?
¿Tiene formularios integrados en tu sitio web que transfieren datos personales?
Si es así, ¿indicaste abajo, arriba o al lado del formulario (en forma abreviada) qué sucede con los datos cuando se envían? ¿Y consultaste tu política de privacidad, en la que describe todo en detalle?
Importante: ¡ningún formulario sin HTTPS!
¿Utilizas un servicio de boletín informativo o un complemento?
¿La entrada solo tiene lugar después de un procedimiento de doble suscripción (es decir, la entrada de la dirección de correo electrónico en el formulario de registro y la confirmación posterior por dirección a través del enlace de correo electrónico)?
En tu formulario de registro, ¿indicas que tuvieron el cliente potencial de ti cuando se registre? ¿Eres transparente y has escrito abiertamente cuando envías ofertas además de información y artículos?
¿Ha firmado un contrato ADV con tu proveedor de servicios de boletines?
Ten cuidado con los proveedores de servicios fuera de la UE: en este caso, un simple contrato para la ADV no es suficiente. En el caso de proveedores no europeos, debe obtener evidencia de información adicional del importador de datos con respecto a la protección de datos (preferiblemente por contrato). Para los proveedores de servicios estadounidenses, como Mailchimp, también es necesario que la empresa esté certificada según el Escudo de privacidad UE-EE. UU. (Aunque todavía no está claro si esto es realmente suficiente).
Debido a la complejidad y la individualidad, sólo puedo darles una descripción general aquí:
¿Utilizas proveedores de servicios externos (como PayPal) para procesar pagos? Si es así, ¿lo escribiste en detalle en la declaración de protección de datos y dijo qué datos se transfieren y dónde se almacenan?
Similar al proveedor de servicios de envío: ¿Se recopilan las direcciones de correo electrónico o los números de teléfono móvil con el fin de notificar la entrega?
¿Puede o debe el comprador registrarse para poder realizar el pedido? Si es así, ¿lo ha marcado en consecuencia y ofrece una opción para realizar pedidos sin registro?
¿Valoras la seguridad informática en tu tienda online? Si no es así, ¡deberías hacerlo! Tiene almacenado una gran cantidad de datos personales en tu sistema que deben protegerse y, por lo tanto, el acceso a estos datos debe estar debidamente protegido.
Comienza con la contraseña: ¿Te has asegurado de que los usuarios tengan que cumplir con una cierta complejidad de contraseña y que las contraseñas triviales como 1234 no sean posibles en absoluto?
Otro consejo: evita almacenar datos como la información de la tarjeta de crédito contigo. Si es posible, siempre usa un servicio seguro externo para que evite el almacenamiento de esta información confidencial. ¡Definitivamente valdría la pena considerar un escaneo de seguridad externo realizado por profesionales en una tienda online!
¿Utilizas complementos, widgets, iFrames, scripts o interfaces adicionales en tu sitio web?
¿Significa esto que los datos personales se almacenan en tu sitio web o con proveedores externos? Si es así ¿con qué propósito? ¿Y solo fluyen los datos necesarios para que el proveedor de servicios pueda hacer su trabajo o se transfieren demasiado?
Los datos personales son recopilados de membresías, complementos de formularios, complementos sociales o de boletines. La forma más fácil de averiguar si un complemento, widget, etc. se puede utilizar de acuerdo con GDPR es en la documentación o en el sitio web del desarrollador.
Desafortunadamente, no todos los desarrolladores son tan transparentes (ni siquiera conocen los requisitos del RGPD), por lo que a menudo tienes que examinar el servicio tú mismo.
Si se transfieren datos, necesitas un ADV con el proveedor de servicios. Eso debería ser fácil cuando el socio está en la UE. Sin embargo, si es en un tercer país, que es más frecuente en el caso de los complementos, se vuelve más difícil. Necesita un contrato y, en cualquier caso, la adición sobre cómo se protegen los datos durante la transferencia y en el proveedor de servicios.
Si no estás seguro de qué complementos envían datos, puedes utilizar otras herramientas como:
• El sitio web builtwith.com
• El complemento del navegador Ghostery
• Las Herramientas para desarrolladores de Chrome (haga clic con el botón derecho, vaya a “Investigar” en el menú contextual y seleccione la pestaña “Fuentes”).
• Y puedes encontrar una descripción general completa de los complementos de WordPress que recopilan datos personales aquí en el blog: Complementos de WordPress y GDPR: Lista de complementos problemáticos (¡+ sugerencias de complementos!)
Personalmente, encuentro este punto el más difícil, ya que es bastante complejo. Muchos de mis clientes ya ni siquiera saben qué servicios de marketing se están ejecutando en su sitio web. Por lo tanto, herramientas como Ghostery y el servicio builtwith.com, por supuesto, vuelven a ser útiles.
¿Utilizas servicios como Facebook Pixel, DoubleClick, Google AdSense o similares?
¡Entonces tienes que escribir sobre ello en detalle en la política de privacidad! El uso de rastreadores publicitarios no es del todo indiscutible. Por lo tanto, asegúrate de ofrecer a los usuarios una opción de exclusión voluntaria si realizas una “comparación ampliada de sus datos”. Especialmente con el retargeting (también llamado remarketing) sería incluso mejor si el usuario tuviera que optar por dar su consentimiento para el seguimiento.
¿Utilizas complementos o widgets de redes sociales como Facebook, Twitter, Pinterest y Co.?
Si es así, asegúrate de asegurarte de que no transfieran ningún dato personal antes de que los usuarios puedan objetar. Esto se aplica p. Ej. B. para los botones estándar para compartir o el complemento de la página de Facebook.
Alternativamente, puede consultar sus plataformas sociales con enlaces simples y usar el complemento Shariff para los botones para compartir (si usa WordPress).
¿Se pueden encontrar las redes sociales y su manejo de datos personales en su política de privacidad? ¡Agrega también en la declaración de protección de datos si utiliza los datos de Facebook para su empresa y cómo lo hace!
¿Ha dado una impresión y una política de privacidad en sus páginas de redes sociales o ha vinculado desde allí a las páginas correspondientes de su sitio web?
¿Mencionas en tu política de privacidad que también se aplica a Facebook, Instagram y compañía?
¡Asegúrate de que haya un pasaje en la declaración de protección de datos para todas las formas mencionadas anteriormente en las que se procesan los datos personales! Existen buenos generadores de políticas de privacidad, como:
Generador de protección de datos de eRecht24 (algunas funciones están sujetas a cargo) Pero asegúrate de que cumplan con el RGPD, como p. Ej.
En ocasiones, se requiere información adicional que no se incluyó previamente en la declaración de protección de datos.
¡No aceptes todo lo que no has leído y agrega o cambia el contenido para que se ajuste a tu aplicación!
Hay tantas preguntas e incertidumbres sobre el directorio de procedimientos que tengo que decir de inmediato: ¡NO ENTRES EN PÁNICO! Trata de que sea sencillo. Nadie pide una tesis doctoral en este momento. Escribe los procedimientos en general, no específicos para cada cliente. Por experiencia, esperaría alrededor de 20 procedimientos para un emprendedor puramente online. Si eres un blogger, probablemente incluso menos.
El tema de la obligación de proporcionar información es nuevo con el GDPR y no existía en esta forma antes. Antes de comenzar el procesamiento, debe informar al interesado qué hará con sus datos, siempre que los recopile directamente de ellos. Si no recibes los datos directamente de la persona interesada como parte de un proceso, debes informar a la persona interesada dentro de unas cuatro semanas.
Como emprendedor online, generalmente lo haces a través de tu política de privacidad. Si procesas datos fuera de tu presencia online, también debes informar al respecto. Esta información también debe seguir ciertas pautas. He descrito cómo se ven estos con más detalle en la publicación de mi blog sobre la obligación de información en mi sitio web.
Por lo tanto, es importante en la declaración de protección de datos que tú, si usas generadores, solo uses aquellos que también reflejen el contenido completo de la obligación de información (artículos 13 y 14 del RGPD). Todo lo que aún no está incluido en la política de privacidad, debes escribirlo tú mismo. Aquí se recomienda que hayas trabajado bien con el directorio de procedimientos. Ahora puedes usar la información nuevamente y todo lo que necesitas hacer es ponerla en la forma correcta.
No es un término nuevo para ti ahora, ¿verdad?
¿Tienes proveedores de servicios a bordo o utilizas un servicio de TI de un proveedor que procesa datos personales por ti? En este caso, necesitas un contrato para el procesamiento de datos de pedidos o procesamiento de pedidos (en realidad, ese es el plazo actual). ¡Haz una lista de todos los proveedores de servicios y asegúrate de tener un contrato ADV con todos ellos!
Muchas grandes empresas tienen plantillas estándar para esto, que generalmente se ofrecen para descargar. Todo lo que tienes que hacer es completarlo con tus datos y firmarlo. Puedes averiguar qué proveedores ya tienen un contrato ADV.
¿Qué pasa con los procesadores que tienen su sede en un país no perteneciente a la UE, es decir, en un tercer país? En ese caso, el contrato ADV es dos veces más largo, porque se debe proporcionar información extensa sobre el importador y exportador de datos.
Por cierto, existe una regulación especial para las plataformas donde los proveedores y usuarios deben registrarse, p. Ej. B. con una plataforma de aprendizaje online. Como usuario, confirmas los términos y condiciones durante el registro. Hago lo mismo, por ejemplo, cuando ofrezco formación. Por tanto, no necesito una ADV con la plataforma online. En caso de duda, consulta con el proveedor de la plataforma.
Claro, no termina ahí para las empresas más grandes. La ley o las leyes son extensas. ¿Quizás uno u otro lector también se vea afectado porque tienen procedimientos que están sujetos a una evaluación de impacto de protección de datos?
¿Quizás también necesite un delegado de protección de datos? ¿Qué hay de los empleados? Y mucho más. Por supuesto, esta lista de verificación no cubre estos requisitos específicos. Pero es un buen comienzo y una guía muy buena para prepararte.