¿Está preparado tu ecommerce para GDPR?
21 Feb, 2018 / 4 MIN readThe General Data Protection Regulation
Teniendo en cuenta que el próximo día 25 de mayo entra en vigor la GDPR, consideramos oportuno informar a nuestros clientes y a la comunidad que nos rodea, creando primero este resumen introductorio sobre los principales cambios que implica la ley y ampliando la información posteriormente.
¿Cuáles son los principales cambios que implica la GDPR?
- El ámbito de aplicación afecta a toda web de empresas establecidas en la Unión Europea que procese datos personales y a las webs de empresas no establecidas en dicho territorio que dirijan su oferta de bienes y servicios a residentes en la Unión Europea.
- Afecta a todo tipo de datos que puedan identificar a una persona, aunque sea indirectamente. Nombres, emails, edad, DNI, información financiera, cookies, datos físicos, sicológicos, genéticos, mentales, económicos, culturales, de identidad social e incluso la IP.
- Se endurecen los requerimientos para obtener el consentimiento de las personas cuando éste es necesario para el tratamiento de sus datos. Además, el citado consentimiento podrá revocarse en cualquier momento por el interesado.
- Las empresas deberán reportar a las autoridades de protección de datos y, en ocasiones, también directamente a los afectados, las violaciones de seguridad con un máximo de 72h.
- Se deberá entregar una copia de sus datos personales en formato electrónico a la persona que lo requiera.
- El principio de minimización de datos exige que las empresas retengan y procesen solo los datos absolutamente necesarios para el fin con el que son tratados y que limiten el acceso a los datos personales a quienes lo necesitan para el cumplimiento de sus funciones.
- El incremento de la cuantía de las sanciones: bajo esta nueva normativa las multas pueden llegar hasta un 4% de la facturación anual de la empresa.
Para ampliar nuestros conocimientos hemos recurrido a Luis Mª Latasa Vassallo y Miguel Valdés Borruey, abogados en EJASO, nuestro estudio jurídico de confianza, ambos expertos en Derecho de las Tecnologías de la Información y Propiedad Intelectual. Esto es lo que han contestado a nuestras preguntas:
¿Cómo creéis que va a afectar esta nueva regulación?
La nueva regulación afecta a todas las empresas y en nuestra opinión va a suponer un cambio radical en la gestión del cumplimiento de la normativa de protección de datos. En primer lugar, debido al principio de responsabilidad activa que se establece en el GDPR, que implica que las empresas asuman un papel proactivo en dicho cumplimiento. De este modo, antes de iniciar cualquier tratamiento de datos personales, se deberán adoptar medidas para asegurar que el mismo es conforme con el GDPR y estar en condiciones de demostrarlo, así como, posteriormente, supervisar continuamente el cumplimiento del Reglamento tanto dentro de la organización como por parte de los proveedores externos que pudieran intervenir en el tratamiento.
En segundo lugar, el riesgo de incumplir esta normativa se incrementa exponencialmente dada la cuantía de las sanciones, por lo que la GDPR pasa a ser una de las prioridades en materia de compliance y gestión de riesgos de las compañías afectadas
Hay cierto nerviosismo con este tema, ¿qué recomendáis para estar preparados cuando entre en vigor la GDPR?
La mejor forma de adaptarse a la GDPR es llevar a cabo un proyecto de adecuación a dicho Reglamento, que debe comenzar con la realización de un análisis de riesgos para determinar, en función del tipo de tratamientos de datos personales que se lleven a cabo, las medidas legales, técnicas y organizativas que la empresa debe implantar.
¿Va a ser un cambio tan grande como se dice?
La GDPR va a suponer un cambio para todas las empresas, sobre todo para aquellas que no estaban adaptadas a la normativa anterior. El mayor impacto se producirá en las grandes empresas, en las compañías cuyos clientes sean consumidores y en aquellas que realicen tratamientos de “riesgo”, tales como el tratamiento de datos de salud u otros especialmente sensibles, creación de perfiles, seguimiento de actividades de usuarios en internet, prestadores de servicios de la sociedad de la información, geolocalización, publicidad comportamental, etc. La realización de este tipo de actividades puede conllevar el cumplimiento de obligaciones adicionales, tales como la creación de un registro de actividades de tratamiento, el nombramiento de un Data Protection Officer (DPO) o la necesidad de realizar evaluaciones de impacto de privacidad.
En Interactiv4 queremos ayudarte con los cambios que supone la entrada en vigor de la GDPR.
Además de informarte en nuestro blog, estamos organizando un Meetup informativo del que pronto tendréis noticias.