La data límit s’apropa; si tens un web, un blog o un E-commerce has de complir el nou reglament RGPD i prendre les mesures adients per adaptar la teva presència on line al mandat legal.
Una nova Llei de protecció de dades.
Ja us hem parlat del Reglament RGPD i de les seves característiques. De forma breu, el nou Reglament Europeu de Protecció de Dades (aprovat el 2016) posarà fi al ventall de regulacions que en matèria de protecció venien aplicant els països membres de la UE.
Si ho penses un moment és el més lògic; de la mateixa manera que compartim una mateixa moneda i podem viatjar dins la UE sense fronteres, és lògic que també compartim una mateixa regulació de protecció de dades.
“Recorda: la data límit és el 25 de maig de 2018”
El reglament RGPD representa una harmonització legal que permetrà operar en un entorn digital més segur, millor integrat i sota un únic marc legal.
Pren-te seriosament la nova Llei de Protecció de Dades.
És la nostra recomanació, perquè la UE es pren molt seriosament la protecció de dades de les dades personals; per això ha reforçat els drets i les garanties dels usuaris. També augmenta les obligacions dels que manipulen o estableixen el tractament de les dades personals.
A la pràctica, aquells que incompleixin el nou reglament RGPD s’enfrontaran a multes molt elevades. La LOPD ja contemplava una sanció màxima de 600.000 € pels casos més greus; però amb el nou reglament les sancions són superiors.
En el cas d’una infracció lleu, passa dels 600.000 als 10 milions d’euros, o un 2% del volum de negoci total anual de l’exercici financer anterior.
Però si es tracta d’una infracció greu, aleshores la xifra puja fins a uns esfereïdors 20 milions d’euros o un 4% del volum de negoci.
Val la pena adaptar el nostre web al nou reglament i estalviar-nos sancions.
El Reglament RGPD contempla l’opció de reclamar indemnitzacions als perjudicats en matèria de protecció de dades, una novetat que no contempla la LOPD.
Cóm adaptar el tu web al Reglament RGPD.
Cal tenir clar que, al marge dels drets i principis del nou reglament, el focus principal cal posar-lo en el consentiment dels usuaris. Aquest és el punt clau quan es tracta d’un web o d’un blog. La raó és que el nou reglament exigeix que tot requeriment de dades personals ha d’anar precedit d’un consentiment explícit.
I això què vol dir?
Doncs que has de tenir present tres característiques fonamentals per aconseguir que el consentiment sigui legal:
- Ha de ser clar i explícit: no és legal un consentiment tàcit.
- Ha de ser específic: ha d’estar relacionat amb una activitat concreta, específica (no genèrica).
- S’ha de poder verificar: tenim l’obligació de demostrar o acreditar que l’hem obtingut.
Aconsegueix la doble autorització (doble opt-in).
Malgrat que ja disposis d’una base de dades pots trobar-te davant el fet que molts d’aquests registres es considerin no legals en funció de la forma en què els vares obtenir. Potser algunes vegades has emprat l’autorització simple (single opt-in) i d’altres el doble opt-in. Ambdós són sistemes de validació, però només el segon compleix amb el Reglament RGPD.
El doble opt-in inclou una verificació en dos passos:
- L’usuari s’inscriu (fent clic sobre un Call To Action, per exemple).
- Més tard, rep un correu on s’inclou un enllaç que ha de clicar per confirmar la subscripció.
Això vol dir que has d’aplicar alguna estratègia que et permeti aconseguir el doble opt-in abans del 25 de maig.
Ara el consentiment ha de ser explícit, amb una base jurídica explicada de forma concisa i mai sobreentesa. Per defecte, si no s’ha donat el consentiment, aquest no existeix.
Revisa les polítiques i l’avís legal.
Els apartats Avís legal, així com les polítiques de privacitat i la política de cookies han de ser redactades en base al principi de transparència; has de fer-ho de forma clara, comprensible, tot emprant un llenguatge senzill. També has d’incloure elements perquè l’usuari accedeixi o denegui.
Dins aquests apartats has de fer constar:
- La identitat del responsable de la gestió de dades. En cas de nomenar un delegat de protecció de dades també cal consignar les seves dades.Les dades que s’estan recollint.
- La identitat (o categories) dels destinataris de les dades personals. És a dir, els serveis de tercers que tenen accés a les dades, com ara el hosting, plataformes d’emailing, etcètera.
- Termini durant el qual es conservaran les dades personals o, com a mínim, el criteri per a establir-lo.
- La finalitat per la que seran emprades les dades personals.
- En cas d’aplicar-los, indicar els processos automatitzats.
- El dret dels usuaris a sol·licitar l’accés, la rectificació, la supressió o limitació del tractament de les seves dades.
Els textos legals han de ser accessibles (clars i fàcils de llegir) des de qualsevol lloc del web.
Sigues curòs amb els formularis.
Has de tenir en compte que cal demanar el consentiment conscient i esplícit de l’usuari, així com l’acceptació de la política de privacitat, abans de deixar les seves dades.
Tingues present el següent:
- Un formulari no serà legal si no inclou una casella de verificació sol·licitant (de forma explícita) que l’usuari accepta la Política de Privacitat.
- La casella de verificació no pot estar seleccionada per defecte.
- Cal vincular la Política de Privacitat així com afegir un text descriptiu en relació al tractament que s’aplicarà a les dades personals introduïdes en el formulari.
Recorda: l’usuari ha de poder revocar el seu consentiment en qualsevol moment.
Altres requeriments.
Per acabar, cal que prenguis mesures adients que protegeixin les dades personals dels usuaris.
En general, hauries de:
- Xifrar les dades personals dels usuaris.
- Establir sistemes de recuperació de dades (davant errors tècnics o atacs informàtics).
- Verificar la seguretat de les dades a intervals regulars, amb tests de seguretat.
