18 Diciembre 2019 Desarrollo de Negocio
La nueva ley general de protección de datos de la unión europea entra en vigor el próximo 25 de mayo de 2018. Seguramente te hayas dado cuenta por la enorme cantidad de correos electrónicos que te han llegado este último mes informándote de los términos y condiciones al respecto. En Hamro queremos explicarte un poco de qué va esta ley y cuales son las implicaciones que va puede repercutir en tu negocio.
¿De qué va?
Es un hecho, el consumo de datos por persona aumenta cada año. Son muchos gigas de información que están creciendo de forma exponencial y que cada vez permiten a las compañías extraer más y mejores datos de sus bases de usuarios. El consumo de las tecnologías de la información ha cambiado radicalmente en la última década, y ha abierto un nuevo paradigma de la propiedad de información en el mundo moderno. La ley se ha planteado teniendo en cuenta este crecimiento. Aunque suene raro, internet sigue en pañales y si se quiere regular de forma eficiente, hay que pensar en lo que se será capaz de hacer en el futuro con tanta cantidad de información. Pensad a 200 o 300 años vista, cuando seamos capaces de ver el facebook de nuestros bisabuelos. La ingente cantidad de información de nuestra época permitirá a gobiernos o corporaciones del futuro tener una idea exacta del sentimiento general que había en la población. ¿Os imagináis poder saber si los romanos eran felices? ¿En qué pensaban los egipcios? ¿Cómo pasaban el tiempo en el imperio persa?
La ley se ha hecho teniendo este tipo de preguntas en cuenta, para cuidar la privacidad de sus usuarios de cara a un futuro tan incierto como el que se avecina. Es necesario crear una regulación. Para que os hagáis una idea, a nivel tecnológico la importancia de esta ley puede ser equiparable a la creación de un estatuto de los trabajadores en los siglos anteriores.
Aquí va un pequeño repaso de sus aspectos más importantes.
El usuario tiene que ser informado de las intenciones de la empresa de recabar los datos de privacidad, y debe de poder confirmarlo de una forma clara y concisa, sin que esto incluya un checkbox ya tikado en la web. Básicamente, no puedes presuponer que el usuario va a consentir nada en ningún momento.
Puede ser obligatorio. Requiere que la empresa disponga de un experto a sus servicio en temas de protección de datos y su regulación, y este puede ser un empleado o un servicio contratado.
Las consideraciones de privacidad deben construirse en todos los sitios, y solamente se puede recabar la información estipulada para el uso informado.
No solamente debes de cubrir los datos de tu empresa, sino que también eres responsable de los datos de aquellas empresas que recaban datos por ti, incluso aquellas empresas fuera de la unión europea. (como por ejemplo, google).
Los controladores de datos deberán de informar a las autoridades (como la agencia de protección de datos) de cualquier filtrado o brecha de seguridad que haya puesto en riesgo o en conocimiento de otras personas sus datos personales en un máximo de 72 horas. En casos más serios, las personas deben de ser informadas de forma individual
Los usuarios ahora tienen el derecho a mover, copiar o transferir información personal de una empresa a otra, incluidas las de la competencia.
Expande de forma importante los derechos de los usuarios con la información que se les debe dar cuando realicen actividades en tu empresa.
La realidad es que las aplicaciones móviles obtienen datos de una u otra manera de los usuarios. Desde geoposicionamiento hasta fotografías, publicaciones e información personal. En muchos casos esto también incluye el tiempo y la forma de uso de un usuario en la app.
Para entendernos…
Cumplir con la GDPR implica proveer mayor documentación y transparencia al usuario.
La GDPR requiere que tu empresa sea capaz de documentar y explicar a un usuario como cumple con las regulaciones. Principalmente implicará actualizar la política de privacidad y explicar con detalles que es lo que hace tu empresa para cumplir con la ley.
Privacidad por defecto.
La privacidad debe de ser proactiva, y tiene que prever cualquier problema de privacidad antes de que le lleguen al usuario. La privacidad también debe de ser preventiva, no remedial, y tiene que ser el ajuste por defecto. El usuario no debería de realizar ningún paso adicional para asegurar su privacidad, y de nuevo, el consentimiento de los datos no debería de asumirse.
Privacidad en el diseño
La privacidad se debe implementar en el diseño, y debe ser una de las funciones principales de un producto o servicio, y no un add-on. Además, tiene que estar centrada en el usuario. Esto implica ofrecer la privacidad de forma segmentada, con opciones de máxima privacidad por defecto, y interfaces de usuario que avisen e informen de los cambios de privacidad.
Privacidad para siempre y de cualquier forma.
La privacidad se debe de ofrecer de forma permanente. Esto implica que tu empresa deberá tener procesos de minimización, retención y borrado de datos.
Es todo un logro, bajo esta nueva regulación, la Unión Europea ha dado a todos sus ciudadanos acceso a los datos personales que las diferentes empresas pueden recabar en sus archivos. Además, nos da el derecho a los usuarios finales a obtener y re-utilizar información personal recabada en sus diferentes servicios, así como el derecho a borrar datos personales sin tener que dar ningún tipo de explicación.
Stripe es una plataforma de ecommerce que ayuda a compañías a integrar sistemas de pago en sus apps móviles y sitios web. Dado que su modelo de negocio es muy amplio, pues sus pagos cubren diferentes sectores y muy a menudo un único pago acaba en manos de más de un usuario, se han cubierto bien las espaldas yhan recabado una lista muy interesante que te recomiendo que ojees con respecto a los puntos más importantes que hay que tener en cuenta a la hora de actualizar tu negocio.
También puedes leer el reglamento entero. Tiene un buscador muy útil para buscar los puntos más fuertes en las 99 páginas del documento.
GDPR en el desarrollo de las apps. Los aspectos más fundamentales.
1 - ¿De donde vienen tus datos?
Revisa de donde vienen todos tus datos y cuales de tus servicios recogen que datos y documéntalo todo. Revisa también que datos personales y qué información recolectas. Cuanta menos información recojas, menos datos necesitarás proteger.
2 - Revisa tu política de privacidad.
Los documentos vagos y que parecen sacados del despacho de abogados más aburrido de internet ya no valen. Tienes que ser transparente y claro con los datos que recoges y como los utilizas. Además, tienes que ofrecer consentimiento explícito y claro, en un idioma sencillo y que no de lugar a errores.
3 - Asegurate que todos tus canales de comunicación son seguros
Fuerza todo el tráfico de tus conexiones a través de HTTPS, cifra todos los datos personales, cancela los datos de los usuarios que cancelen tus servicios y controla quien tiene acceso a estos datos.
4 - Asegurate de que tus usuarios están informados
Actualiza tus contratos y notifica a todos tus usuarios de que cumples con el reglamento
En resumen, esta ley se ha pensado paraproteger a los usuarios de escándalos como el que salpicó a facebook con Cambridge Analítica. En España esta ley va a sustituir a la actual ley orgánica de protección de datos, y muchas de los aspectos de esta nueva ley en España ya habían sido cubiertos, pero hay algunas modificaciones y cambios que debes adaptar y tomar medidas. En tu caso, si tu empresa es, o va a ser suficientemente grande, deberías considerar contratar a un experto que te ayude con la privacidad de tu empresa.