Ley de protección de datos GDPR

Llamenos y proteja a su empresa y a sus clientes
677 288 288

GDPR Y LA LEY DE PROTECCIÓN DE DATOS EUROPEA

La entrada en vigor del Reglamento General de Protección de Datos (UE), cuyo cumplimiento será exigible a partir del 25 de mayo de 2018, amplía las obligaciones de implantación de medidas de seguridad para todas las empresas europeas, los autónomos y la Administración Pública entre otros.

Estas medidas incluyen la obligación de implementar cifrados y sistemas de 2FA incluso sobre datos
considerados de nivel básico, cuando el riesgo lo exige.

Otros sujetos también obligados son los ubicados fuera de la Unión Europea que dirijan sus servicios a usuarios de países miembros o que reciban datos personales desde Europa.

Este documento también aporta datos sobre sectores específicos, describe las consecuencias de una brecha de seguridad con y sin cifrado previo aplicado y trata los tipos de certificaciones

La guía definitiva para el cumplimiento de WordPress y GDPR: todo lo que necesita saber

 
La guía definitiva para el cumplimiento de WordPress y GDPR: todo lo que necesita saber

¿Está confundido por GDPR y cómo afectará su sitio de WordPress? 

GDPR, abreviación de Regulación General de Protección de Datos, es una ley de la Unión Europea de la que probablemente haya oído hablar. Hemos recibido docenas de correos electrónicos de usuarios que nos piden que expliquemos GDPR en inglés y compartamos consejos sobre cómo hacer que su sitio de WordPress sea compatible con GDPR. En este artículo, explicaremos todo lo que necesita saber sobre GDPR y WordPress (sin las complejas cuestiones legales).

Cumplimiento de WordPress y GDPR

Descargo de responsabilidad:

Nada en este sitio web debe considerarse asesoramiento legal. La información es meramente informática sin ningún tipo de vinculo legal. Puede ver la página web de la Agencia de Protección de Datos si así lo cree necesario.

Tabla de contenidos

¿Qué es GDPR?

El Reglamento General de Protección de Datos (GDPR) es una ley de la Unión Europea (UE) que entrará en vigencia el 25 de mayo de 2018. El objetivo de GDPR es darles a los ciudadanos de la UE control sobre sus datos personales y cambiar el enfoque de privacidad de datos de organizaciones de todo el mundo.

¿Qué es GDPR?

Es probable que haya recibido docenas de correos electrónicos de compañías como Google y otros sobre GDPR, su nueva política de privacidad y muchas otras cuestiones legales. Eso se debe a que la UE ha impuesto fuertes multas a aquellos que no están cumpliendo.

Multas

Básicamente después del 25 de mayo de 2018, las empresas que no cumplan con los requisitos de GDPR pueden enfrentar grandes multas de hasta el 4% de los ingresos globales anuales de una compañía O € 20 millones (el que sea mayor). Esta es razón suficiente para causar pánico generalizado entre las empresas de todo el mundo.

Esto nos lleva a la gran pregunta que podría estar pensando:

¿GDPR se aplica a mi sitio de WordPress?

La respuesta es sí. Se aplica a todas las empresas, grandes y pequeñas, en todo el mundo (no solo en la Unión Europea).

Si su sitio web tiene visitantes de países de la Unión Europea, entonces esta ley se aplica a usted.

Pero no se asuste, este no es el fin del mundo.

Mientras que GDPR tiene el potencial de escalar a ese alto nivel de multas, comenzará con una advertencia, luego una amonestación, luego una suspensión de procesamiento de datos, y si continúa violando la ley, entonces las multas grandes afectarán.

Multas y sanciones GDPR

La UE no es un gobierno malvado que intentará atraparte. Su objetivo es proteger a los consumidores, al promedio de personas como usted y a mí, del manejo imprudente de datos / infracciones porque se está descontrolando.

En nuestra opinión, la parte más importante es atraer la atención de grandes empresas como Facebook y Google, por lo que esta norma NO se ignora. Además, esto alienta a las empresas a poner más énfasis en la protección de los derechos de las personas.

Una vez que comprenda lo que exige la GDPR y el espíritu de la ley, se dará cuenta de que nada de esto es demasiado loco. También compartiremos herramientas / consejos para que su sitio de WordPress sea compatible con GDPR.

¿Qué se requiere bajo GDPR?

El objetivo de GDPR es proteger la información de identificación personal (PII) del usuario y mantener a las empresas a un nivel más alto cuando se trata de cómo recopilan, almacenan y usan esta información.

Los datos personales incluyen: nombre, correos electrónicos, dirección física, dirección IP, información de salud, ingresos, etc.

Datos personales GDPR

Si bien el reglamento GDPR tiene 200 páginas, aquí están los pilares más importantes que debe conocer:

Consentimiento explícito : si recopila datos personales de un residente de la UE, debe obtener un consentimiento explícito específico e inequívoco. En otras palabras, no puede simplemente enviar correos electrónicos no solicitados a personas que le dieron su tarjeta de presentación o completaron el formulario de contacto de su sitio web porque NO OPTARON para su boletín de marketing (eso se llama SPAM, por cierto, y usted no debería estaré haciendo eso de todos modos).

Para que se considere consentimiento explícito, debe requerir una aceptación positiva (es decir, no hay una casilla de verificación marcada previamente), contener una redacción clara (sin jerga legal) y estar separado de otros términos y condiciones.

Derechos a los datos : debe informar a las personas dónde, por qué y cómo se procesan / almacenan sus datos. Una persona tiene derecho a descargar sus datos personales y una persona también tiene derecho a ser olvidada, lo que significa que puede solicitar la eliminación de sus datos.

Esto asegurará que cuando pulse Anular suscripción o solicite a las empresas que eliminen su perfil, entonces realmente lo hacen (hmm, imagínese). Te estoy mirando Zenefits, todavía estoy esperando que mi cuenta se elimine durante 2 años y espero que dejes de enviarme correos electrónicos no deseados solo porque cometí el error de probar tu servicio.

Notificación de incumplimiento : las organizaciones deben informar ciertos tipos de infracciones de datos a las autoridades pertinentes dentro de las 72 horas, a menos que la infracción se considere inofensiva y no represente ningún riesgo para los datos individuales. Sin embargo, si una violación es de alto riesgo, entonces la empresa también DEBE informar a las personas afectadas de inmediato.

Con suerte, esto evitará encubrimientos como Yahoo que no se revelaron hasta la adquisición.

Oficiales de protección de datos : si usted es una empresa pública o procesa grandes cantidades de información personal, debe designar a un oficial de protección de datos. De nuevo, esto no es necesario para las pequeñas empresas. Consulte a un abogado si tiene dudas.

Oficial de Protección de Datos GDPR

Para decirlo en un lenguaje sencillo, GDPR se asegura de que las empresas no puedan burlar a las personas enviando correos electrónicos que no pidieron. Las empresas no pueden vender los datos de las personas sin su consentimiento explícito (buena suerte para obtener este consentimiento). Las empresas deben eliminar la cuenta del usuario y cancelar su suscripción de las listas de correo electrónico si el usuario le pide que lo haga. Las empresas deben informar las infracciones de datos y, en general, ser mejores con respecto a la protección de datos.

Suena bastante bien, al menos en teoría.

Ok, entonces ahora probablemente se esté preguntando qué debe hacer para asegurarse de que su sitio de WordPress cumple con GDPR.

Bueno, eso realmente depende de su sitio web específico (más sobre esto más adelante).

Comencemos respondiendo a la pregunta más importante que hemos recibido de los usuarios:

¿Cumple WordPress GDPR?

Sí, a partir de WordPress 4.9.6, el software principal de WordPress cumple con GDPR. El equipo central de WordPress ha agregado varias mejoras GDPR para asegurarse de que WordPress cumple con GDPR. Es importante tener en cuenta que cuando hablamos de WordPress, estamos hablando de WordPress.org alojado en uno mismo (vea la diferencia: WordPress.com vs WordPress.org ).

Una vez dicho esto, debido a la naturaleza dinámica de los sitios web, ninguna plataforma, complemento o solución única puede ofrecer un cumplimiento 100% GDPR. El proceso de cumplimiento GDPR variará en función del tipo de sitio web que tenga, qué datos almacena y cómo procesa los datos en su sitio.

Ok, ¿entonces estarás pensando qué significa esto en inglés sencillo?

Bueno, de forma predeterminada WordPress 4.9.6 ahora viene con las siguientes herramientas de mejora GDPR:

El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado, tratamiento de información sensible en papel,  de datos personales contenidos o destinados a ser incluidos en un fichero.

El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado, tratamiento de información sensible en papel,  de datos personales contenidos o destinados a ser incluidos en un fichero.

Software para saber si debo realizar una evaluación de impacto de riesgos

La agencia española de protección de datos facilita un software para que los titulares de ficheros puedan saber si deben realizar una evaluación de impacto sobre los datos que recogen de terceros.

En el link que encuentran debajo de esta indicación irán directamente a la Agencia de Protección de Datos y podrán evaluar si necesitan o no proteger y como los datos que recogen de terceros.

GDPR y los Ficheros automatizados

Los ficheros y la información de los interesados deben estar salvaguardados en la mayor medida posible, mas si cabe cuando se tratan datos de alta confidencialidad y grado, salud, sexo... etc.

Cuando el tratamiento se base en el consentimiento del interesado, el responsable deber ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

art. 7.1 GDPR

GDPR y los Ficheros NO automatizados

Si dispone de información sensible, ejemplo, datos de salud y su tratamiento es en papel o fichero no automatizado, no queda exento de su proactividad en salvaguardar la información.

Cuando el tratamiento se base en el consentimiento del interesado, el responsable deber ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

art. 7.1 GDPR

El cifrado es una de las medidas más adecuadas para mitigar los riesgos inherentes al tratamiento de datos de carácter personal de manera que se pueda mantener la seguridad, según dispone el Reglamento General de Protección de Datos (UE) en su Considerando 83. La norma concreta quiénes son los sujetos a los que se les impone este deber de aplicar, cuando proceda, medidas de cifrado: el responsable o el encargado del tratamiento.

Cifrar los datos

El cifrado de datos es una medida recomendable y, en muchos casos, legalmente obligatoria, que no exime del deber de notificar, pero sí reduce la carga de responsabilidad sobre el sujeto afectado, así como el daño real sufrido.

El Gabinete Jurídico de la Agencia Española de Protección de Datos recuerda, en su
Informe 494/2009, cuál es la importancia de la protección adecuada de los datos, de manera que sea legal
y suficiente:

“La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas
de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un
mero trámite administrativo ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza
la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean
necesarios para su correcta implementación”.

Para la Agencia Española de Protección de Datos (en adelante, AEPD), la seguridad informática en la
transmisión e intercambio de datos personales es una cuestión de máxima importancia, en especial
cuando las medidas que hay que adoptar incluyen el cifrado.

Implementar de forma correcta un sistema de cifrado robusto no es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad, según la AEPD, sino el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación.

TIPOS DE CIFRADO PERMITIDOS POR LA UNIÓN EUROPEA

La normativa europea en materia de cifrado, así como el Reglamento español de desarrollo de la Ley Orgánica
de Protección de Datos (en adelante, RLOPD) en su artículo 104, otorgan a las empresas obligadas la
posibilidad de elegir entre las siguientes dos opciones:

• Opción de cifrado: sistema profesional de cifrado robusto.
• Opción alternativa al cifrado convencional: cualquier otro mecanismo que garantice que la
información no sea inteligible ni manipulada por terceros.

Algunos ejemplos pueden ser los siguientes:

Esteganografía: a través de este sistema, el emisor oculta mensajes a nivel de aplicación para su envío en forma de imágenes por medio de diferentes vías electrónicas, incluida la satelital.
Spread-spectrum: el sistema de transmisión mediante espectro ensanchado permite el envío de
mensajes ocultos para el caso inalámbrico a nivel físico.
Las opciones alternativas al cifrado convencional requieren una implementación difícil y una gestión
compleja, habitualmente problemática, a diferencia de la sencillez que ofrecen los actuales sistemas
de cifrado.

En 2009 la Agencia afirmó que aún no se disponían de tecnologías más ágiles para preservar la confidencialidad de la información que emplear herramientas de cifrado, aunque en un futuro estas puedan aparecer.

A día de hoy, el cifrado sigue siendo la tecnología más eficiente para este fin.
El RLOPD abre la vía al desarrollo de nuevos mecanismos que garanticen las mismas consecuencias que las que se logran por medio de la implementación de los sistemas profesionales de cifrado.

Cifrar o no nuestros archivos, consecuencias dictadas en la ley GDPR

Cifrados convenientes

Aquellas empresas que hayan implementado un sistema de cifrado y sufran una brecha de seguridad que afecte a los datos personales que gestiona, pueden no informar sobre la intrusión a los usuarios. En cambio, aquellas empresas que no cifren están compelidas a informar a los usuarios sobre los ataques que sufran si las consecuencias incluyen la afección de sus datos personales.

Cifrados voluntarios

La empresa que almacena datos disociados o datos personales de los indicados en el artículo 11 del Reglamento General de Protección de Datos (UE) a través de los cuales no sea ya posible identificar a una persona física, siempre que no haya una norma que le obligue a cifrarlos, puede implementar medidas de cifrado para aumentar la seguridad sobre estos.

Entrada en vigor del Reglamento General de Protección de Datos (UE).
Alcance y exigibilidad

El Reglamento General de Protección de Datos (UE) (RGPD), que impone obligaciones a las empresas
europeas, a los autónomos y a las Administraciones Públicas de los estados miembros de la Unión Europea,
fue aprobado el día 27 de abril de 2016, ya está en vigor en España y empezará a ser exigible el 25 de
mayo de 2018.
Entre los sujetos obligados al cumplimiento de esta norma europea están los mentados y aquellos que
traten datos personales con fines diferentes a los personales o domésticos, entre otros. Además, deberán
cumplir la norma los sujetos obligados que, estando fuera de la Unión Europea, reciban datos personales
desde Europa o traten estos para algún otro sujeto obligado, así como aquellos que dirijan sus servicios a
personas físicas europeas a través de, por ejemplo, Internet.
Al tratarse de un Reglamento de la Unión Europea, se aplica de manera automática y directa en todos los estados
miembros (artículo 288 del Tratado de Funcionamiento de la Unión Europea), a diferencia de la Directiva de Protección de Datos que debía ser transpuesta a través de leyes nacionales. Esto quiere decir que no ser sera necesaria una nueva norma para que sea obligatorio su cumplimiento, sino que ya lo es y comenzará en breve a ser exigible.

El enfoque elegido para las multas es de dos niveles, dependiendo de la gravedad, duración y naturaleza de la infracción:

Nivel 1

2% DEL VOLUMEN DE INGRESO ANUAL DE LA EMPRESA, O 10 MILLONES DE EUROS, EL QUE SEA MAYOR. ESTO SE APLICARÁ, POR EJEMPLO, EN SITUACIONES EN LAS QUE LA EMPRESA NO PUEDA DEMOSTRAR UNA SEGURIDAD ADECUADA, NO HAYA DESIGNADO UN DPO O NO HAYA ESTABLECIDO UN ACUERDO SOBRE EL PROCESADOR DE DATOS.

nivel 2

4% DEL VOLUMEN DE INGRESO ANUAL DE LA EMPRESA, O 20 MILLONES DE EUROS, EL QUE SEA MAYOR. ESTA MULTA SE APLICA SI SE HAN INFRINGIDO LOS DERECHOS DE LOS SUJETOS DE DATOS, COMO LA SITUACIÓN EN LA QUE SE PROCESARON SUS DATOS SIN UNA BASE JURÍDICA.

EVALUACIÓN DE IMPACTO

El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.

Llamenos y proteja a su empresa y a sus clientes
677 288 288

SUBIR

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies