¿Está su sitio según el GDPR?Cómo prepararse para las regulaciones generales de protección de datos

El Reglamento General de Protección de Datos (GDPR) es una nueva legislación importante de protección de datos. Desarrollado por la Unión Europea, está diseñado para fortalecer los derechos de las personas con respecto a la recopilación, uso y almacenamiento de sus datos personales. La ley se aplica a las empresas u organizaciones en la Unión Europea. Aquellos fuera de la UE que ofrecen bienes y servicios (pagados o no) a las personas que viven en la UE o monitorean su comportamiento deben cumplir. De hecho, el GDPR se convierte en el estándar global de protección de datos. Entonces, ¿qué importan los datos personales? Cualquier datos que se puedan utilizar para identificar a una persona en la vida, directa o indirectamente, se clasifican como datos personales.
P.ej:
Nombre
Acercarse
Dirección de correo electrónico
Número de identificación personal
Datos de localización
dirección IP
¿Qué son los datos personales confidenciales? Los datos personales confidenciales son una clase especial de datos personales que deben tratarse aún más cuidadosamente. Incluye factores como:
La raza
Estado de salud
Orientación sexual
Fe religiosa
Creencias políticas
¿Qué derechos tienen los sujetos de datos según GDPR? Como explicó ICO, los sujetos de datos tienen los siguientes derechos sobre sus datos personales:
información
Adhesión
Rectificación
supresión
Restricciones en el procesamiento
Portabilidad de los datos
Objeción
Revisión de decisiones automáticas o perfiles

Los derechos de las personas en cuestión GDPR
GDPR se refiere mucho al procesamiento de datos. Esto simplemente se refiere a cualquier operación que se realice en datos personales: recopilación, almacenamiento, modificación, eliminación, etc.
¿Qué tendrá que hacer su negocio para respetar GDPR? 1. Audite sus datos personales Aprenda qué datos personales está procesando, detallados a continuación. 2. Documente todo lo que notas sus políticas y procedimientos para administrar datos personales. Esto es parte de demostrar su conformidad con la regulación. Necesitará un plan para qué hacer en el caso: las solicitudes de acceso para las personas pueden solicitar acceso, actualización o eliminación de sus datos personales. ¿Cómo verificará su identidad y cómo satisfará su solicitud? La seguridad de los datos detalló lo que hace para mantener sus datos personales seguros. Esto podría involucrar técnicas como cifrado, anonimización y control de acceso. Basas de datos cualquier violación de los datos personales que dañaran significativamente a las personas debe informarse dentro de las 72 horas de la “autoridad de supervisión relevante”. En el Reino Unido, esto es ICO. Si la violación es lo suficientemente grave, tendrá que comunicarlas a las personas afectadas. 3. Informe a su público Crear o actualice su declaración de privacidad para explicar qué datos personales recopila y qué se usan en un breve y fácil de leer.
Resumen de la Política de privacidad HappyTable

No solo copiar y pegar uno; Asegúrese de que esté adaptado a su negocio y los datos que posee.
4. Identifique una base legal para todas sus actividades de procesamiento de datos personales. Cualquier procesamiento de datos personales debe tener una justificación legal. Más sobre esto más tarde. 5. Considere que tiene un Oficial de Protección de Datos de DPO (DPO) es responsable de todas las actividades de protección de datos. Un DPO puede estar dentro de una organización designada externamente o designada. Descubriendo los datos personales que recopila su empresa descubre: ¿a quién posee?
¿Qué datos personales se recopilan? ¿Es algo sensible?
¿Qué tipos de archivos se utilizan?
¿Dónde se almacena, localmente, en un servidor web, en la nube?
¿Terceros manipulan datos? ¿Cual? ¿Dónde tienen su sede?
Si los datos se recopilaron y almacenaron inicialmente en la UE, ¿se transfieren fuera de la UE en algún momento? (La transferencia de la UE solo se permite si los datos personales tienen garantías adecuadas. Si los datos se transfieren a los EE. UU., El marco relevante para las transferencias de datos es el escudo de privacidad).
¿Cuánto tiempo se almacenan los datos?
¿Está asegurado de alguna manera?
¿Los sujetos están informados sobre qué datos se mantienen y se usan al recopilarlos?
¡Los datos personales están en muchos lugares! Si eres como yo, usarás muchas herramientas.
Aquí hay algunos lugares de búsqueda:
Sitios web en vivo, sitios de desarrollo y estadificación con:
Complementos de WordPress que recopilan y almacenan información personal
Usuarios de WordPress: especialmente en las instalaciones de BuddyPress y BBPress
Comentarios nativos de WordPress u otro software de comentarios
WordPress Electronic Trade Solutions, por ejemplo, WooCommerce
Documentos de archivos, hojas de cálculo, bases de datos, PDFS
Almacenamiento y respaldo: computadoras, unidades portátiles, palos USB, DVD, en línea
Almacenamiento en la nube: Dropbox, Google Drive, Amazon S3
Intranet
Correo electrónico y archivos adjuntos al correo electrónico
Sistemas CRM
Software de marketing por correo electrónico: MailChimp y similar
Redes sociales: verifique la “agenda de direcciones”
Aplicaciones de mensajería, por ejemplo, Slack, Facebook Messenger, intercomunicador
Aplicaciones de productividad, por ejemplo, Zapier. Trello
Software de reserva, por ejemplo, eventbrite, calendly
¡Y no olvide que los registros en papel importan, así como los electrónicos!
Procesamiento de terceros Verifique las políticas de privacidad y/o acuerdos con los proveedores de cualquier tercero que use. Descubra cuáles son sus planes para respetar GDPR. Si no obtiene respuestas satisfactorias, busque proveedores alternativos.
Por ejemplo, MailChimp escribió en el blog sobre su proceso de cumplimiento. Los complementos de WordPress que recopilan datos personales buscan formas de minimizar la recopilación de información personal. Adopta un enfoque de confidencialidad por diseño. Evite crear tales formularios que requieran muchos datos sin especificar lo que se usan.
Una “forma codiciosa” con muchas áreas
Si es un desarrollador de complementos, incluya opciones para permitir a los propietarios de sitios elegir lo que desean recopilar y almacenar y la opción de eliminar los datos. Asegúrese de que cuando se elimine el complemento, se limpien todos los datos.

Implementar acceso a través de roles de usuario de WordPress: no se debe permitir a los suscriptores ver los datos en el formulario, por ejemplo. Ahora, un vistazo a complementos específicos. 1. Akismet contacté a los desarrolladores detrás de Akismet y pregunté qué suceden con los datos personales al verificar los comentarios de WordPress para el spam. Chris de Automatic respondió: “Trabajamos para cumplir plenamente con el GDPR hasta que entra en vigor a principios del próximo año”. (Podemos deducir que esto también se aplica a Jetpack y WooCommerce). Continuó: “La única información enviada a Akismet cuando se prueba un comentario para el spam es la información proporcionada por el comentarista: nombre, dirección de correo electrónico, URL un sitio y un sitio y un sitio Comentario (más otra información no personal, como la hora actual, etc.). Esta información no se transfiere a ningún servidor que no sea Akismet, pero no podemos garantizar qué país será procesado. Con este fin, firmamos las cláusulas de contrato modelo con nuestra rama irlandesa que cubre la transferencia de datos dentro y fuera de la UE “.
Los usuarios alemanes pueden querer usar la Política de privacidad de complemento Akismet para proporcionar una advertencia de que los datos de comentarios se pueden enviar a los EE. UU. (No hay traducción al inglés todavía).
2. Los formularios de contacto siguen los complementos de formulación que almacenan datos personales en la base de datos de WordPress. Debido a que no debe mantener sus datos personales más de lo necesario, la situación ideal es eliminarlos cuando ya no sea necesario. Los formularios de gravedad más amplios del complemento de entradas de parada bloquean el almacenamiento de formularios de gravedad. Los formularios ninja tienen una configuración para no almacenar las entradas de formulario. Tienes que activarlo para cada formulario. La mirada de los formularios ninja ha sido deshabilitado
Además, verifique si hay formularios que acepten automáticamente a los usuarios en los mensajes de marketing a través de cuadros de selección precipitados.

3. complementos “Envíe un correo electrónico a esta página”. Imprimir, PDF, correo electrónico por impresión amigable recopila las direcciones de correo electrónico enviadas por el usuario. Los desarrolladores han hecho un claro compromiso para proteger los datos personales:
Imprimir, PDF, privacidad y datos de correo electrónico

4. Los complementos de sorteo, como Kingsumo, ofrecen regalos. Los participantes se agregan a una lista de suscriptores de correo electrónico. ¿Qué pasa con las cookies?
Las cookies están cubiertas por la regulación de laprivacia, separadas de GDPR. La fecha de su implementación tuvo que coincidir con el GDPR, pero probablemente se pospondrá porque todavía está en el boceto. La regulación de la privacia se distingue entre las cookies primarias, servida por su campo y cookies de terceros, por ejemplo, de Google Analytics y algunos complementos de intercambio social. La configuración del navegador puede usarse como una forma de consentimiento del usuario para terceros, pero esto es algo por lo que tendremos que tener cuidado. Encontrar una base legal para procesar sus datos personales. Hay 6 razones principales para el procesamiento legal de datos personales. Se debe cumplir al menos una condición. Es poco probable que dos de ellos se apliquen a aquellos que trabajan con intereses vitales y función pública. Esto deja lo siguiente: 1. necesario para la ejecución de un contrato, las actividades, como recopilar información de pago de un proveedor, están cubiertos por este principio. 2. Obligación legal, por ejemplo, las empresas en el Reino Unido están obligadas por ley a mantener los gastos durante 5 años después de la fecha límite para presentar la declaración fiscal, el 31 de enero. 3. Concrings Este es un criterio de procesamiento clave para la mayoría de las empresas. Si no se aplica otra base legal, deberá solicitar el consentimiento para el procesamiento de sus datos personales. El consentimiento debe ser:
Dado libremente, nadie debe ser engañado o limitado para proporcionar sus datos personales. Explícito: si desea agregar direcciones de correo electrónico desde un formulario de contacto y en una lista de correspondencia, no puede usar una casilla de verificación previamente bifacked para registrarlas automáticamente. Un formulario de reserva con cuadro de selección automático

Esto se refiere a: específico y separado: si hay muchos propósitos de procesamiento, el consentimiento debe solicitarse por separado para cada uno. Para el complemento Kingsumo mencionado anteriormente, debe haber 2 cuadros de selección.
Sí para el registro en la competencia de acuerdo con sus términos y condiciones.
Sí por recibir marketing por correo electrónico.
Nombrado: mencione el nombre de su organización y cualquier otra persona que procese los datos. Se puede retirar en cualquier momento: si alguien quiere darse por vencido más tarde, debe permitirlos. Deberías hacer esto fácil. Tienes que registrarte:

A lo que alguien tiene consentimiento.
Cuando estuvieron de acuerdo.
Como lo hicieron.
Lo que se les dijo sobre cómo se utilizará su información.
¿Está agotado el consentimiento? No hay tiempo mínimo para durar el consentimiento; depende del contexto. ¿Pero el consentimiento previamente obtenido? Muchos de nosotros tenemos listas de correo electrónico con suscriptores que han optado por información de marketing. Puede mantener sus datos de suscriptores existentes si puede demostrar que se han obtenido de acuerdo con las mismas disposiciones que en GDPR. La forma obvia de hacer esto es volver a preguntar a sus suscriptores de correo electrónico, pero ten cuidado: ¡Flybe y Honda han sido multados porque hicieron eso! Communicator tiene una tabla útil para tratar listas de correo electrónico antiguas. 4. Intereses legítimos El procesamiento de datos se permite sobre la base de los intereses legítimos del negocio, siempre que no prevalezca los derechos de la persona natural. El uso de esta base para procesar sus datos significa que debe: documentar su evaluación de intereses a los afectados
Indique en la política de privacidad que utiliza los intereses legítimos como condición legal para el procesamiento de datos
Permitir que las personas se opongan a este tipo de procesamiento de datos
Por ejemplo, puede usar un complemento de seguridad que registre las direcciones IP de los visitantes. Después de una evaluación de los intereses, usted decide que esta recopilación de datos está justificada sobre la base de los intereses legítimos. En la Política de privacidad, declare que recopila direcciones IP de los visitantes de su sitio web para proteger su sitio contra los intentos de piratería. ¿Que sigue? Después de haber realizado la auditoría e identificado la base legal para procesar datos personales: si hay datos personales que ya no necesita, elimínelos. La cadena de pub British Wetherspoons ha decidido recientemente eliminar toda su base de correo electrónico para los clientes: generalmente hemos sentido que preferimos ni siquiera mantener las direcciones de correo electrónico para los clientes. Cuanto menos tengamos menos información sobre los clientes, lo cual casi no es en absoluto, menor será el riesgo asociado con los datos. Haga una evaluación de riesgos sobre los datos personales restantes, identifique los datos de alto riesgo y tome medidas para protegerlos. Realice una evaluación de impacto en la confidencialidad en cualquier proyecto futuro o pasado que involucren la recopilación de datos personales. En conclusión, la comprensión y la adhesión a GDPR es un desafío, pero podemos aumentar. Los estándares de protección de datos más altos nos benefician a todos. Comience los preparativos ahora. Utilice los siguientes recursos para orientación: Red de protección de datos
ICO: reforma de protección de datos
Reglamento general de protección de datos – Comisionado de información para la isla del hombre
Guía de regulación general de protección de datos
Sesión virtual: GDPR sin bombo
GDPR: ¿Cómo crear notificaciones con respecto a la confidencialidad de las mejores prácticas (con ejemplos) cuándo y cómo se realizará una evaluación de impacto en la vida privada?
¿Qué medidas podrás cumplir con el GDPR?
¿Sabe qué tipo de información recopila de los visitantes de su sitio?¿Cuánto trabajo cree que involucrará a su sitio de acuerdo con GDPR?Comparta sus pensamientos en los comentarios a continuación.
Etiquetas:
protección de Datos
Seguridad