Divulgación completa: ninguno de los siguientes es un consejo legal. Esto está destinado a la conversación dentro de nuestra comunidad acerca de las implicaciones del RGPD.
¿Qué es GDPR?
GDPR ("Reglamento General de protección de datos") se inició el 25 de mayo en la Unión Europea. Es una ley destinada a proteger a los ciudadanos de la UE regulando el procesamiento, la transferencia y el almacenamiento de cualquier dato que se considere privado o identificable personalmente. La protección de los datos personales se considera un derecho fundamental en virtud de la legislación de la UE.
Cualquier empresa o propiedad de la empresa, como un sitio web, al que accede un ciudadano europeo, cae bajo la jurisdicción del RGPD. Permítanme recalcar eso de nuevo: accedido por un ciudadano europeo. No importa si están físicamente en Europa o no. Por lo tanto, bloquear a los visitantes de Europa no le servirá de nada si un ciudadano de la UE visita su sitio desde Barrie.
Las sanciones por incumplimiento son empinadas: hasta 20 millones euros (~ 30,6 millones dólares canadienses) o 4% de los ingresos globales. Es seguro decir que esto está destinado a presionar a las corporaciones globales para que se pongan en línea. Pero como dice el refrán, es mejor estar seguro que sentirlo.
Muchas de las preguntas en torno a la observancia y el cumplimiento están abiertas a la interpretación. No vamos a cavar aquí porque está más allá del alcance de nuestro Meetup y, lo que es más importante, no somos profesionales legales. Pero lo que hemos visto es que las organizaciones de todo el mundo toman medidas para convertirse en compatibles con el RGPD.
Sugerencia: es lo que esos correos electrónicos de "Hemos actualizado nuestra política de privacidad" se trataba.
El cumplimiento es difícil de determinar. El texto oficial es críptico y difícil de entender. Haga una búsqueda rápida en Google del RGPD y encontrará decenas de millones de publicaciones de blogs, listas de verificación, resúmenes, etc. de firmas legales y consultores que han surgido para abordar la confusión.
A pesar de la ambigüedad, el espíritu general y la intención detrás de GDPR es una buena cosa. Nuestra información personal se propaga a través de la web a través de aplicaciones, dispositivos y servidores. El RGPD pone en marcha un marco para guiar cómo se adquiere, almacena, mueve y gestiona esa información.
Un inicio rápido del RGPD
La oficina del Comisionado de información del Reino Unido (ICO) compiló una guía de inicio rápido de doce pasos para ayudar a las organizaciones a prepararse para GDPR. Los pasos son los siguientes:
1. reconocer que la ley está cambiando, la importancia de la misma, y el impacto en su organización. Ya hemos cubierto el GIST de esto. GDPR es un gran problema, afectando a las organizaciones a nivel mundial.
2. documente qué datos personales ya tiene, de dónde proceden y con quién los comparte. Puede ser útil realizar una auditoría de información. Esto también podría ser un buen momento para consolidar su información en un solo lugar, como un CRM.
El RGPD requiere que mantengas registros de tus actividades de procesamiento.
3. revisa y actualiza tu política de privacidad y cualquier aviso de privacidad. Una vez más, esto es lo que los correos electrónicos de "Hemos actualizado nuestra política de privacidad" eran para.
4. Revise, actualice y documente sus procedimientos para trabajar con datos personales. La documentación, incluso dentro de una pequeña organización, es enormemente beneficiosa. Así que si estás trabajando en o con una pequeña empresa y no tienen ya una base de conocimientos de equipo, ahora es un buen momento para crear una. Puede ser tan simple como una carpeta de Google Docs o tan elaborada como un WordPress sitio personalizado.
5. Compruebe, actualice y documente sus procedimientos para gestionar las solicitudes de datos de manera oportuna. Las solicitudes deben cumplirse sin una tarifa dentro de un mes, pero se pueden denegar o cobrar una tarifa si son excesivas o infundadas. Una vez más, esto es algo que debe cubrir en una base de conocimientos del equipo interno: ¿Qué hace cuando alguien envía una solicitud?
6. documente cómo y por qué procesa los datos personales que usted hace. En otras palabras, usted debe tener una razón legítima para recoger los datos que está pidiendo. Este es otro punto a cubrir en la base de conocimiento del equipo, por lo que todo el mundo está informado.
7. Revise y actualice cómo busca, registra y gestiona el consentimiento. Actualice el consentimiento existente si no están en línea con el RGPD. Relacionado: orientación detallada para recabar el consentimiento (a través de ICO)
8. Identifique si necesita verificar la edad del usuario, y si es así, cómo obtendrá el consentimiento de los padres o tutores si procesa datos personales pertenecientes a menores. Si está construyendo un sitio con jóvenes como el público previsto (piense en niños de 16 años o menos), esto probablemente se aplicará a usted.
9. Asegúrese de que ha documentado procesos para detectar, reportar e investigar violaciones de datos. Este es también un requisito bajo La legislación canadiense sobre PIPEDA, y algo más que añadir a la base de conocimientos de su equipo.
10. Revise e implemente evaluaciones de impacto de privacidad. "Se requiere una DPIA en situaciones en las que es probable que el procesamiento de datos resulte en un alto riesgo para las personas." Si está trabajando con una organización más grande o tratando con datos confidenciales, Consulte la guía de ICO de DPIAs.
11. designar a alguien de la organización para que sea responsable del cumplimiento. Al igual que con los DPIAs, tener un delegado de protección de datos es crucial para las grandes organizaciones que se ocupan de un gran volumen de datos personales u organizaciones que procesan datos confidenciales, como la información de atención médica.
12. Si la organización opera en varios Estados miembros de la UE, debe haber una autoridad a nivel de supervisión responsable de todo el procesamiento de datos en la organización. Básicamente, "el dinero se detiene aquí" – están a cargo de cómo la organización maneja los datos personales.
Eso es mucho, incluso para una guía de inicio rápido, por lo que para resumir aún más:
- Obtenga una comprensión del alcance y el impacto del RGPD.
- Hacer una auditoría de los datos personales que ya tiene.
- Actualice su política de privacidad y avisos de privacidad.
- Actualice y documente sus procedimientos para trabajar con datos personales.
- Tener una persona responsable de administrar la privacidad de los datos.
Ahora vamos a entrar en las implicaciones prácticas para el trabajo que estamos haciendo en línea.
Una (muy) visión general de alto nivel del RGPD en relación con los sitios web
Por un lado tienes un negocio con un sitio Web. Utilizan ese sitio web para mostrar sus servicios, compartir actualizaciones y anuncios, y recibir consultas a través de formularios de contacto.
En el otro lado tienes los usuarios del sitio Web. Van al sitio web para aprender sobre el negocio, leer información, y tal vez incluso ponerse en contacto.
El negocio utiliza un puñado de 3 ª parte de herramientas en su sitio. Tienen analítica web; Chat en vivo; captura de correo electrónico para sus boletines; y el seguimiento de anuncios.
Entre los formularios y las herramientas de 3ª parte, la empresa podría recopilar una gran cantidad de datos personales de sus usuarios. Pero antes de recogerla, necesitan obtener el consentimiento. Aquí es donde entra en la política de privacidad. Indica a los usuarios qué datos se recopilan, con quién se comparten (dónde se almacenan) y cómo se utilizan.
Bajo GDPR, la empresa se considera el controlador de datos. Si un usuario desea realizar un cambio, exportar o borrar sus datos personales, la empresa es responsable de dar al usuario una forma de hacer esa solicitud. El negocio también es responsable de cumplir esa solicitud de manera oportuna.
Las herramientas de 3ª parte se consideran procesadores de datos. Almacenan datos, pero el controlador de datos (el negocio) es responsable de administrarlo. Los procesadores también le darán al controlador (el negocio) los medios para modificar, exportar y borrar los datos si es necesario.
Adicionalmente, mediante el uso de avisos de privacidad y controles de permisos, el sitio web permite al usuario proporcionar y alterar su consentimiento.
¿Cómo aplicamos esto como WordPress usuarios?
Cuando construimos sitios web con WordPress, estamos creando nuevas aplicaciones donde los datos personales de las personas pueden ser almacenados. Y como desarrolladores o propietarios de estas aplicaciones, tenemos la responsabilidad de proteger los datos de nuestros usuarios.
En un sitio básicoWordPress , sin ningún tipo de plugins, se pueden adquirir y almacenar datos personales mediante el registro de usuarios y comentarios. A medida que instalamos plugins adicionales, la cantidad de información que recogemos puede crecer exponencialmente. Por ejemplo:
- Plugins de seguridad que utilizan IPs de visitante para el tráfico de lista negra.
- Plugins de análisis que rastrean el comportamiento del usuario.
- Plugins de formulario de contacto que guardan entradas.
- plugins de eCommerce que almacenan direcciones de envío.
- Plugins de marketing que recopilan direcciones de correo electrónico.
- Los plugins de publicidad y redes sociales que se conectan a rastreadores de terceros.
Estos plugins almacenarán datos localmente en el servidor de nuestro sitio web, o se conectarán a un servicio de terceros ("procesador de datos") para almacenar los datos.
En la nueva versión de WordPress, ahora tenemos la capacidad de identificar una página de Política de Privacidad. Esta es la página en la que revelaremos todos los datos que estamos recopilando; cómo los estamos utilizando; con quién se comparten los datos (si procede); y el proceso para que los usuarios soliciten modificaciones, exportaciones o eliminación de datos.
También se incluyen en la nueva versión deWordPress dos nuevas herramientas para satisfacer las solicitudes de exportación y eliminación de datos. Por defecto, estas herramientas sólo afectan a los datos recogidos por el WordPress software central, como las cuentas de usuario y los comentaristas. Otros plugins están interviniendo para atender solicitudes de datos para servicios de terceros, autogestión de datos y para ayudar con las notificaciones de consentimiento. Echaremos un vistazo a estos en un momento.
Mientras tanto, tu comida para llevar es esta: crea tu página de política de privacidad. Cuéntales a tus usuarios exactamente lo que estás haciendo con sus datos. Y darles una manera de enviar solicitudes de datos. Un formulario de contacto simple está bien para empezar.
WordPress Plugins de GDPR
Bien. Hablemos de los plugins del RGPD que nos pueden ayudar.
GDPR fue desarrollado aquí en Toronto por el equipo de Trew Knowledge. Es un plugin bastante completo. Proporciona la gestión del consentimiento; Administración de preferencias de privacidad de front-end; correos electrónicos de doble opt-in para el derecho de supresión; reasignación de datos de usuario; búsqueda de back-end & administration; registro seguimiento de telemetría; y mucho más. Está bien documentado y se siente como una extensión de WP core.
Otro popular plugin de GDPR, aunque no tan bien documentado, y sólo soporta WordPress el núcleo, comentarios, WooCommerce, Formas de Gravedad, y Formulario de Contacto 7 fuera de la caja. El mapa de ruta no cubre nada más allá del 3 de junio, por lo que es difícil saber cuáles son sus planes para la compatibilidad futura. También se siente muy parecido a un plugin atornillado.
La privacidad WP adopta un enfoque diferente. En lugar de administrar los datos almacenados en su servidor, WP privacidad integra las herramientas integradas de exportación/borrado de privacidad con los datos almacenados en los proveedores de 3 ª parte (los procesadores de datos cubiertos anteriormente). Echa un vistazo a la publicación del anuncio de Scott Deluzio.
Cookiebot no es un WordPress plugin, pero estoy viendo que aparece en más sitios web como una solución para manejar el consentimiento de GDPR. Escanea el sitio en busca de la presencia de cualquier cookie y maneja los controles de permiso. Tienen un plan gratuito adecuado para sitios pequeños (menos de 100 páginas), pero el precio sube rápidamente a partir de ahí.
Lectura relacionada
Este Meetup no habría sido posible sin apoyarse en los siguientes recursos:
Reglamento General de protección de datos (Wikipedia)
¿Qué es GDPR? La Guía resumida sobre el cumplimiento del RGPD en el Reino Unido (WIRED)
Protección de datos en la UE (Comisión Europea)
Guía del Reglamento General de protección de datos (RGPD) (ICO)
Preparación para el RGPD: 12 pasos a seguir ahora (ICO)
GDPR para los vendedores canadienses: ¿se aplica? (Arte y ciencia)
Prácticas recomendadas de marketing por correo electrónico para CASL y GDPR (Art & Science)
Ley de protección de información personal y documentos electrónicos (PIPEDA)
***
¿Tiene alguna pregunta o comentario sobre este Meetup? Háganos saber en la página del evento, en nuestro grupo de Facebook, o dejar un comentario a continuación.
Fue un gran Andy.
Como se prometió aquí está el enlace a los recursos de la Asociación de analítica digital. Asistí al taller organizado por su capítulo de Toronto. Y, por supuesto, los analistas están muy preocupados por el RGPD porque en realidad están gestionando los datos!
https://community.digitalanalyticsassociation.org/blogs/marilee-yorchak/2018/05/29/gdpr-daa-resources-for-you
Gracias Heather!
Hola Andy, gracias por mencionar a Cookiebot. Tenemos un wordpress plugin, por favor, mira: https://wordpress.org/plugins/cookiebot/. Sin embargo, solo establece la casilla de consentimiento. Debe etiquetar todas las cookies manualmente para asegurarse de que cumple con los requisitos.