Volver
Comercio electrónico

Preparación para el GDPR: Un Resumen de Información Esencial para Propietarios de Tiendas en Línea

¿Qué es el RGPD (GDPR)?

El nuevo Reglamento de Protección de Datos reemplazará el paquete legislativo y las directrices de la UE que han estado en vigor desde 1995. Las directivas que están por encima de la ley nacional de cada país y son obligatorias para cada responsable del tratamiento de datos de ciudadanos de la UE entraron en vigor el 25 de mayo de 2018.

El Reglamento General de Protección de Datos (GDPR) es relevante para todas las empresas que tienen bases de datos de clientes y se dedican al marketing directo, así como para entidades que procesan o gestionan los datos de ciudadanos de la UE. Antes de que entre en vigor el reglamento, las empresas deben prepararse adecuadamente, por lo que hemos seleccionado los puntos relevantes del reglamento para los propietarios de tiendas en línea.

Vale la pena enfatizar que la mayoría de las leyes u obligaciones, como la necesidad de estar registrados en el registro de responsables del tratamiento de datos, dejan de ser válidas desde el mismo día, por lo que las pequeñas y medianas empresas en Lituania no se están preparando adecuadamente para la implementación de estas leyes debido a rumores circulantes y otra información inexacta. El propósito de esta entrada y descripción es familiarizar a los propietarios de comercio electrónico con las prácticas correctas y necesarias y proporcionar información concisa y específica.

¿Por qué es necesario prepararse para el GDPR?

Las infracciones se clasifican en infracciones menores e importantes. Para las infracciones menores, se imponen multas administrativas de hasta 10,000,000 de euros o, en el caso de una empresa, hasta el 2%. del volumen de negocios anual, según cuál sea la cantidad mayor. Para las infracciones importantes, se imponen multas dobles: hasta 20,000,000 de euros o hasta el 4%. del volumen de negocios anual (nuevamente, esto se refiere a la cantidad que sea mayor).

Infracciones menores:

Infracción del procedimiento para ejercer los derechos de los interesados en los datos

Falta de cooperación con la autoridad de control

Participación incorrecta de los encargados del tratamiento de datos o formalización incorrecta de relaciones con ellos

Tratamiento de datos realizado por el encargado del tratamiento de datos sin las instrucciones del responsable del tratamiento de datos

Falta de información sobre violaciones de seguridad de datos

Infracciones importantes:

Infracciones del principio de limitación de la finalidad y todas las demás infracciones de principios fundamentales (exactitud, duración del almacenamiento, etc.)

Tratamiento de categorías especiales sin una excepción que lo permita

Implementación de los derechos de los interesados en los datos

Transferencia ilegal de datos a un destinatario de datos en un tercer país

Hasta el día de hoy, existen rumores teóricos de que las empresas serán consultadas primero al identificar infracciones; sin embargo, vale la pena señalar que el reglamento en sí no prevé advertencias y estipula de inmediato la aplicación de sanciones y multas administrativas.

¿Estás interesado en la integración de PrestaShop? Encontrarás más información haciendo clic en este enlace.

Conceptos Clave

Datos personales – cualquier información relacionada con una persona natural identificada o identificable, es decir, información sobre una persona cuya identidad es clara o puede establecerse al menos obteniendo datos adicionales.

En este caso, cabe destacar que la protección de datos se aplica a personas naturales, mientras que todas las nuevas reglas y leyes del GDPR no se aplican a entidades jurídicas. Sin embargo, la dirección de correo electrónico de un empleado de una entidad legal, que incluye su nombre y apellido, ya está protegida por la mencionada ley GDPR. Por ejemplo, richard.smaizys@prestarock.com se considera información protegida, mientras que info@prestarock.com no lo es.

Los propietarios de comercio electrónico también deben preocuparse por detalles como la talla de zapatos o la talla de vestido, que, cuando se vinculan a un individuo específico y su identidad, ya se consideran su información privada que está protegida y regulada. Lo mismo se aplica a las direcciones IP, nombres y apellidos, información de dirección y otros elementos evidentes.

Otro ejemplo fundamentalmente interesante: almacenar un número de teléfono junto con un nombre y apellido en un teléfono al preparar, por ejemplo, una oferta. En principio, esto también constituye datos que están regulados en los ejemplos descritos posteriormente. Esencialmente, sin seguir trabajando con el cliente (haber presentado una propuesta pero no ganarla), deberías eliminar esos datos. En otras palabras, este ejemplo tenía como objetivo mostrar que teóricamente los datos regulados incluso incluyen aquellos que ingresas en la libreta de direcciones de tu teléfono móvil (el nombre y apellido del empleado del cliente, número de teléfono).

Tratamiento de datos personales significa ‘cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automatizados o no, como la recopilación, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión u otra forma de poner a disposición, alineación, combinación, bloqueo, supresión o destrucción.’ También vale la pena mencionar que el término ‘tratamiento’ abarca acciones mediante las cuales los datos personales de un responsable del tratamiento se transfieren a la responsabilidad de otro responsable del tratamiento.

El responsable del tratamiento de datos es esencialmente quien primero obtiene permiso para recopilar y procesar esos datos y los almacena.

El encargado del tratamiento de datos es quien tiene el permiso del responsable del tratamiento de datos, y se informa a la persona de que este procesador específico puede procesar los datos, lo cual hacen de acuerdo con el concepto descrito anteriormente.

En un caso específico de comercio electrónico, el responsable del tratamiento de datos sería el propietario de la tienda en línea, mientras que el procesador sería la empresa que proporciona el servicio, que recopila las direcciones de individuos y posteriormente las almacena, procesa y utiliza de otras formas para realizar el servicio. En nuestra comprensión, un procesador de datos también incluye la empresa de alojamiento que proporciona alojamiento físico de servidores, programadores que tienen la capacidad de acceder, gestionar, filtrar, procesar, recopilar y manejar de otra forma datos personales, etc.

El delegado de protección de datos (un concepto relevante solo para empresas grandes con muchos empleados y que recopilan grandes cantidades de datos) es un intermediario entre las autoridades de supervisión y los departamentos de recursos humanos de la empresa, divisiones, individuos cuyos datos son recopilados (usuarios, clientes, socios, visitantes de sitios web e información capturada por cámaras de videovigilancia, etc.).

En empresas cuya actividad principal es el tratamiento de datos, donde se realizan operaciones continuas con datos (por ejemplo, una firma de contabilidad) debido a su gran escala o impacto, así como en empresas de categoría especial (salud, etc.), las autoridades deben designar un delegado de protección de datos.

Dicho delegado en la empresa debe participar en todos los procesos de tratamiento de datos, independientemente de otros cargos y empleados, debe contar con los recursos necesarios, debe estar constantemente accesible (especialmente en caso de una violación, para reaccionar teóricamente de inmediato o dentro de 24 horas), y es prácticamente el coordinador del cumplimiento de la regulación de datos.

Violación de la seguridad de los datos – una violación de seguridad que resulta en la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos. Recomendamos que las empresas tengan un procedimiento predefinido de violación de la seguridad de los datos, que les permita evaluar la escala y el alcance del riesgo emergente, ya que esto determinará si es necesario informar adicionalmente a las autoridades de supervisión y al interesado dentro de las 72 horas posteriores a la ocurrencia de la violación. En cualquier caso, cada empresa debe mantener un registro de violaciones de seguridad de datos, independientemente del tamaño de la vulnerabilidad.

La evaluación del impacto en la protección de datos personales (una nueva evaluación requerida solo para sistemas o procesos nuevos, no aplicable a procesos operativos o de empresa aprobados existentes) – es un proceso diseñado para describir, evaluar la necesidad y proporcionalidad, y ayudar a gestionar los riesgos que pueden surgir de los derechos y libertades de las personas al procesar datos personales. Una evaluación correctamente realizada puede ayudar a demostrar más fácilmente su caso en caso de incidente o cumplimiento de los requisitos del GDPR. Una evaluación debe realizarse cuando se trate de categorías especializadas (sector de la salud, etc.), monitoreo y recopilación de datos a gran escala, operaciones especificadas a nivel nacional que requieran evaluación, etc.

Los principios de protección de datos discutidos en el GDPR

El principio de legalidad, equidad y transparencia – el cliente es informado sobre los datos que se recopilan de manera optativa, en lugar de optativa

El principio de limitación de la finalidad – cada conjunto de datos o procesamiento de datos personales requiere un propósito claramente definido. Los mismos datos recopilados no pueden usarse para otro propósito si la persona cuyos datos se están procesando no dio su consentimiento para ese propósito.

El principio de minimización de datos – los datos innecesarios y no utilizados teóricamente deben eliminarse de inmediato y no retenerse. Un ejemplo interesante descrito anteriormente: almacenar un número de teléfono junto con un nombre y apellido en un teléfono al preparar, por ejemplo, una oferta. En principio, esto también es un dato regulado y descrito en los ejemplos. Esencialmente, sin seguir trabajando con el cliente (haber presentado una propuesta pero no ganarla), deberías eliminar esos datos.

Principio de exactitud – los datos se utilizan solo para los fines para los que se permitió su uso.

Principio de limitación del almacenamiento – el responsable del tratamiento de datos define claramente e informa a la persona cuánto tiempo retendrá los datos en sus sistemas, y posteriormente – cómo y cuándo los eliminará.

Principio de integridad y confidencialidad

Bases legales para el tratamiento de datos (cuándo se pueden procesar los datos)

El cumplimiento del contrato – se recomienda confiar en esto cuando sea necesario procesar datos para cumplir con obligaciones contractuales.

Consentimiento – se recomienda confiar en esto cuando el interesado ha dado su consentimiento para que sus datos personales se procesen para uno o varios fines específicos. El consentimiento debe ser demostrable (optativo, no obligatorio), debe ser revocable por el usuario mismo, y esto debe hacerse no más complicado de lo acordado, y el consentimiento debe ser voluntario y separado del propósito.

Intereses legítimos – se recomienda confiar en esto cuando el procesamiento de datos sea necesario para los intereses legítimos del responsable del tratamiento de datos o de un tercero, excepto cuando tales intereses, derechos y libertades del interesado, que requieren la protección de datos personales, se anulen, por ejemplo, en el caso de menores, etc.

También se identifican específicamente los fundamentos para el procesamiento de categorías especiales de datos: consentimiento, obligación legal, intereses de defensa, procesamiento de datos públicamente disponibles, registros médicos, etc.

¿Qué necesitas saber si estás transfiriendo datos fuera del EEE?

Si estás transfiriendo datos fuera del EEE, se requiere al menos uno de los motivos especiales:

Decisión de adecuación de la CE

Normas obligatorias para empresas

Cláusulas estándar de protección de datos

Código de conducta aprobado

Mecanismo de certificación aprobado

¿Por dónde empezar?

Recomendamos crear una estructura de datos, por ejemplo, en un archivo de Excel, donde seleccionarás y encontrarás toda la información que tienes sobre tu usuario (más tarde puedes ampliar esto a empleados y otros). Esencialmente, debes describir y categorizar cada campo o dato almacenado sobre el usuario en el sistema, y luego utilizar esos datos sistemáticamente vinculados para fines específicos. Debe ser confirmado (acordado) por el visitante y usuario de tu tienda en línea.

Tener objetivos claros sobre cómo utilizarás la información del visitante y qué información almacenarás te permitirá prepararte para la integración real del GDPR en tu tienda en línea y describir adecuadamente la política de privacidad y los términos de servicio.

-->