Focus 4: tractament de dades i responsabilitats personals

Què passa si comprem un producte d'un lloc de comerç electrònic i l'endemà ens adonem que la nostra targeta de crèdit s'ha quedat sense crèdit? Com es gestionen les nostres preferències i, per tant, les nostres dades quan acceptem navegar per un lloc web o bloc? I de nou: a qui confiem realment la informació personal un cop s'ha omplert un formulari de contacte? Intentarem respondre aquestes i altres preguntes en aquest quart e darrera visió dedicada a la seguretat de la informació a l'era digital. Sí, perquè el tractament de les dades va de la mà de les responsabilitats personals dels administradors del lloc, és a dir, de les persones que posseeixen un lloc o un projecte digital. La situació sempre ha estat fragmentada, almenys fins fa uns anys. El canvi d'època va arribar el 2018, amb l'arribada de Reglament General de Protecció de Dades, també conegut com GDPR. Comencem des d'aquest punt i veiem com configurar una política de gestió de dades d'una manera professional.

EL RGPD EUROPEU I L'AMBIT REAL D'APLICACIÓ

Impossible no haver sentit mai a parlar del Reglament General de Protecció de Dades, oficialment reglament (UE) n. 2016/679. En funcionament des de fa dos anys, el GDPR ha marcat l'inici d'una nova era, augmentant el nivell de protecció dels usuaris pel que fa al tractament de dades personals per part de webs, blocs, comerç electrònic i espais virtuals en general (fòrums, pàgines de destinació, plataformes de streaming de vídeo, cercadors, etc.). Parlar en poques línies d'aquest instrument legislatiu il·limitat i en part ambigu és una missió impossible, però el nostre deure és oferir unes pautes útils per donar llum a un tema tan vast i complex. Primer mirem els aspectes més destacats del GDPR, però, intentem entendre quin és el seu àmbit d'aplicació real.

Quins països es veuen afectats pel GDPR?

Cada país en què opera una organització que s'adreça als ciutadans de la UE a través del web i processa determinades dades personals és un país al qual el GDPR té dret a aplicar-se. Aquesta és la conclusió a la qual s'arriba sumant les àrees especificades pel GDRP. D'això se'n dedueix que pràcticament totes les empreses i professionals que tenen relacions amb la Unió Europea, des de Suïssa fins als Estats Units d'Amèrica i moltes altres, han de complir la normativa. Per a més informació sobre això us recomanem llegir aquesta guia completa del GDPR.

Suposant que el GDPR té valor legal tant a Suïssa com a la resta d'Europa, vegem punt per punt i aspectes principals a tenir en compte interpretar correctament el reglament i aplicar-lo en conseqüència.

• cada usuari que visiti el vostre lloc ha de confirmar el seu consentiment al tractament de les dades. El consentiment ha de ser lliure, específic, informat i revocable en qualsevol moment
• en absència de consentiment s'assumeix que les dades NO seran recollides o que s'impedirà la visita al lloc
• els consentiments han de ser arxivats i memoritzats, de manera que els puguin trobar sempre qualsevol agent i autoritat estatal
• el registre de consentiment ha de contenir una sèrie d'informació essencial, com ara el moment en què es va donar el consentiment
• el consentiment no és l'única base legal possible, sinó una de les 6 previstes pel GDPR. No obstant això, en moltes situacions i per a moltes empreses, el consens continua sent el camí més fàcil

LA DIRECTIVA DE PRIVACITAT electrònica (LEI DE COOKIES)

El GDPR no és l'única referència a observar. La Directiva 2009/136/CE (també coneguda com a Directiva de privadesa electrònica) és la segona eina fonamental per a la correcta gestió de les dades personals. legislació específica les normes d'ús de cookies de tercers dins del seu propi espai virtual, o millor dit els requisits que permeten l'activació de cookies en la primera visita d'un nou usuari. De nou, el principi es basa en la màxima protecció, oferint a l'usuari la total opció de denegar l'accés de les cookies a les seves dades amb un simple clic. Com veurem en l'últim paràgraf, l'administrador i, per tant, el gestor del lloc web ha de proporcionar a l'usuari un sistema, normalment un bàner, per acceptar o rebutjar l'accés a les cookies.

Algunes galetes estan exemptes d'aquest tipus de consentiment, però és molt probable que un lloc d'aparador empresarial allotgi almenys un testimoni digital o galeta. La política de privacitat s'ha d'informar en un document específic, i això també s'aplica a la política de cookies. En aquests moments s'està discutint la directiva ePrivacy, o llei de galetes, perquè les intencions dels legisladors tenen com a objectiu la transició al que serà el Reglament ePrivacy, operant de concert amb el GDPR. Amb tota probabilitat, però, no hi haurà canvis significatius a les disposicions, per això és bo ara mateix adaptar-se i arribar preparat per a l'aprovació del reglament, destinat a ser oficialitzat en uns anys.

L'ACTE DE PRIVACITAT DEL CONSUMIDOR DE CALIFORNIA (CCPA)

La Llei de privadesa del consumidor de Califòrnia va entrar en vigor l'1 de juliol de 2020, una de les formes de protecció més estructurades aprovades actualment als Estats Units, així com pauta de referència per a cada estat dels EUA fora de Califòrnia. Com és el cas d'Europa amb el GDPR, el CCPA també té enormes repercussions per als EUA, com ara anar més enllà de les fronteres del propi país. Tot i que no és tan restrictiu, el CCPA també pot tenir un impacte real en el vostre negoci amb seu a Suïssa o qualsevol altre país. Les condicions que heu de complir, a més de dirigir-vos als ciutadans de Califòrnia, inclouen:

• tenir vendes brutes anuals superiors a 25 milions de dòlars; o
• tenir almenys el 50% de la seva facturació prové de la venda de dades personals

o

• comprar, rebre, vendre o compartir la informació personal de 50.000 o més consumidors cada any amb finalitats comercials.

Difícil? No exactament. Com que les adreces IP són dades personals, és probable que qualsevol lloc web que en un any aconsegueix de Califòrnia més de 50.000 els visitants únics estan dins de l'àmbit de la CCPA. Aquest és només un exemple de com la globalització, també i sobretot la tecnologia de la informació, ha creat ara connexions i interdependències entre les legislacions nacionals.

COM CUMPLIR LES DIRECTIVAS DE DADES

A la llum del que s'ha escrit fins ara, l'adaptació a les directives nacionals, europees i internacionals, sens dubte, no és una tasca accessible sense fer ús de les eines adequades. No és casualitat que s'hagin desenvolupat en els darrers anys plataformes senceres dissenyades per gestionar obligacions del GDPR (i no només) amb un enfocament ràpid, pràctic i en part automàtic. L'administrador del lloc web, és a dir, el propietari de l'organització, el webmaster o l'agència que segueix el projecte, només ha de registrar-se en aquestes plataformes i omplir les dades requerides pel sistema (propietari de les dades, url del lloc, etc.). En aquest punt, el programari i el connector relacionat mostraran als usuaris el bàner que resumeix els termes i condicions de seguiment de dades i activació de galetes.

Les mateixes plataformes, almenys les més famoses, són capaces de generar documents de política de privadesa, polítiques de galetes i qualsevol dels termes i condicions, amb un text preformatat que només cal omplir i personalitzar segons sigui necessari. Entre els noms de les plataformes de més èxit esmentem sense cap ordre concret la italiana Iubenda, la nord-americana Quantcast o la danesa Cookiebot, cadascuna especialitzada en un reglament o conjunt de regulacions. Les solucions aportades són gratuïtes però en aquest cas tenen una funcionalitat limitada. Des d'Innovando recomanem, doncs, escollir el pla que millor s'adapti a la mida i als mètodes efectius de recollida de dades de l'organització, evitant així qualsevol hipòtesi de delicte. No et fiques amb les dades dels usuaris, sobretot perquè les sancions, en cas d'incompliment, poden ser molt i molt salades.

Esperem haver-te donat tota la informació que necessites. En cas contrari, poseu-vos en contacte amb nosaltres sense compromís per a assessorament gratuït i personalitzat sobre protecció de dades.