Lista de verificación de comercio electrónico GDPR para sitios web comerciales: la guía completa

Publicado: 2020-09-26

Introducción

El cumplimiento de GDPR es un requisito principal para cualquier sitio web que ofrezca sus productos o servicios a los países europeos. No solo hace que el sitio web cumpla con el marco legal, sino que también lo hace confiable a los ojos de los visitantes. A medida que aumenta su transparencia. Pero cómo cumplir con GDPR puede ser un punto confuso para algunos propietarios de sitios web.

En este artículo, hemos traído una lista de verificación de comercio electrónico de GDPR para usted. No importa si es un novato en el campo o un experto, nuestra lista de verificación de GDPR servirá como marco de referencia para el cumplimiento del comercio electrónico. Al final del artículo, también le diremos cómo hacer que su sitio cumpla con GDPR de una manera fácil usando dos simples complementos de WordPress. Lea el artículo, podrá hacer que su sitio web cumpla con GDPR con unos pocos pasos sencillos sin problemas.

¿Qué es el RGPD?

1

El Reglamento General de Protección de Datos o RGPD es un marco legal europeo. Se implementó el 25 de mayo de 2018 para proteger la privacidad de los datos de los residentes de la UE.

¿A quién se aplica el RGPD?

El RGPD se aplica a una organización con fines de lucro si:

  • Tiene presencia comercial en cualquiera de los países de la UE.
  • No tiene presencia comercial en la UE pero procesa datos personales de residentes europeos y ofrece sus productos o servicios a los residentes de los países de la UE
  • Tiene una fuerza de más de 250 empleados
  • Tiene menos de 250 empleados pero su recopilación y procesamiento de datos afectan los derechos y libertades de privacidad de los interesados, el proceso es regular e incluye ciertos tipos de datos sensibles.

Las multas del RGPD de comercio electrónico que debe conocer

Aquí están las principales multas bajo GDPR:

  • Hasta el 2% de los ingresos anuales de una empresa del año anterior o hasta $10 millones, lo que sea mayor. Es aplicable por incumplimiento.
  • Hasta el 4% de los ingresos anuales de la empresa del año anterior o $20 millones, lo que sea mayor. Es por violación de datos.

Principales requisitos del RGPD y cómo cumplir con el RGPD

Base legal para el procesamiento de datos

Según GDPR, los datos personales de los residentes de la UE solo pueden poseerse si tienen al menos una base legal. Las siguientes son las bases legales que proporciona GDPR para el procesamiento de datos:

  • Los usuarios han dado su consentimiento para una finalidad específica
  • El procesamiento de datos es necesario para mantener o celebrar un contrato en el que el usuario es un participante
  • El procesamiento de datos es necesario para cumplir con una obligación legal de la cual el controlador de datos es un sujeto
  • El procesamiento de datos es necesario para la protección de los intereses de los usuarios.
  • El procesamiento de datos es necesario para una actividad realizada en interés público
  • El procesamiento de datos se realiza en el interés legítimo del controlador de los datos o de alguna otra persona.

Consentir

La palabra consentimiento significa simplemente el permiso de los usuarios para el procesamiento de datos. El consentimiento debe ser voluntario y suele ser de carácter variable. Significa que un usuario puede cambiar su consentimiento en cualquier momento. La notificación de consentimiento debe ser limpia y clara. No debe haber ninguna ambigüedad en ello.

Una organización debe mantener los siguientes registros de consentimiento:

  • ¿Quién dio el consentimiento?
  • De qué manera se obtuvo el consentimiento de un usuario y cuándo
  • Si a un usuario se le presentó un formulario de consentimiento en el momento de la recopilación del consentimiento
  • Qué documentos y condiciones legales eran aplicables en el momento de la obtención del consentimiento

derechos de los usuarios

GDPR ha otorgado a los ciudadanos de la UE muchos derechos para la protección de su privacidad y seguridad. Los siguientes son los principales derechos bajo GDPR:

  • El derecho a ser informado

Los interesados ​​deben ser informados sobre el procesamiento de datos y se les debe solicitar su consentimiento antes de la recopilación de datos. Tienen derecho a saber con qué propósito se recopilan los datos, cómo se procesarán y almacenarán y si se compartirán con terceros, con quién se compartirán.

  • El derecho de acceso

Los interesados ​​ahora tienen derecho a acceder a sus datos personales que se encuentran en la base de datos de una organización cuando lo deseen. El controlador está obligado a presentar una descripción general del proceso de procesamiento de datos si un usuario lo solicita.

  • El derecho a la rectificación

Los usuarios ahora tienen derecho a obtener la rectificación de sus datos en caso de que sean incompletos o inexactos. El RGPD también establece que la rectificación debe comunicarse a todos los terceros destinatarios involucrados en el proceso. Si un usuario lo solicita, la organización debe informarle sobre los terceros destinatarios.

  • El derecho a borrar

Un usuario puede solicitar a una organización que elimine sus datos de su base de datos. La organización está obligada a eliminar la información en ese caso.

  • El derecho a restringir el procesamiento

Los interesados ​​tienen derecho a restringir el procesamiento de datos. La solicitud debe tramitarse en el plazo de un mes desde la recepción de la solicitud.

  • El derecho a la portabilidad de los datos

Un usuario puede obtener sus datos personales para transferirlos de un controlador a otro sin ninguna objeción por parte del procesador de datos. Tanto los datos proporcionados como los observados están sujetos a esta regla.

  • El derecho a objetar

GDPR otorga a los usuarios el derecho a oponerse a algunas actividades específicas de procesamiento de datos que involucran sus datos personales. El usuario debe dar una motivación válida para la objeción si el procesamiento de datos se lleva a cabo en interés público. Si el procesamiento se realiza simplemente con fines de marketing, no se requiere ninguna motivación por parte de los usuarios para presentar una objeción.

  • Derechos en relación con la toma de decisiones automatizada y elaboración de perfiles

Los interesados ​​tienen derecho a rechazar el sistema de tratamiento automatizado de datos. Una organización puede llevar a cabo un procesamiento de datos automatizado solo si se requiere para celebrar o mantener un contrato reconocido por las leyes estatales de la UE, basado en el permiso de los usuarios y no tiene ningún efecto legal o similar en los interesados.

Transferencias transfronterizas de datos

GDPR permite la transferencia de datos fuera del EEE o del Espacio Económico Europeo solo con la condición de que el país al que se transfieren los datos tenga un nivel adecuado de protección de datos según el estándar de la UE.

La otra condición es que el titular de los datos sea informado al respecto. Sin el consentimiento del interesado, no está permitido transferir ningún dato.

Privacidad por diseño y por defecto

El tratamiento de datos debe incluirse desde el inicio del diseño del proceso de negocio y sus desarrollos. En otras palabras, una empresa debe asegurarse de que el estándar de procesamiento de datos sea alto y se tomen todas las medidas necesarias para cumplir con los estándares establecidos por GDPR en lo que respecta al ciclo de vida del procesamiento de datos.

Notificación de incumplimiento

En caso de incumplimiento, las autoridades superiores deben ser informadas por el controlador de datos dentro de las 72 horas posteriores al conocimiento de la violación de datos. Si los datos son procesados ​​por el procesador de datos en nombre del controlador de datos, debe informar al controlador sobre una violación de datos en el momento en que tenga conocimiento de ello. Los usuarios también deben ser informados sobre violaciones de datos.

Delegados de protección de datos

El Delegado de Protección de Datos es una persona que ayuda a una organización a cumplir con las leyes del RGPD. Ayuda a una organización a implementar todas las reglas, establecer la agenda y tomar acciones para el cumplimiento interno.

Se requiere un oficial de protección de datos especialmente en los siguientes casos:

  • Un lugar donde se realiza una gran escala de monitoreo sistemático de usuarios de manera regular
  • Si el procesamiento de datos es realizado por autoridades públicas
  • Si se realiza una operación compleja con los datos de los usuarios, especialmente si se trata de datos sensibles.

Mantener registros de las actividades de procesamiento

El RGPD obliga tanto al responsable del tratamiento como al encargado del tratamiento a mantener un registro "completo y extenso" completo y actualizado de los datos de los usuarios.

Se debe mantener un registro si -

  • El tratamiento de datos no es ocasional
  • Puede resultar en un riesgo para los derechos de privacidad y la libertad de los residentes de la UE
  • Involucra categorías sensibles o especiales de datos
  • El procesamiento lo realiza una organización con más de 250 empleados.

El registro debe incluir -

  • Nombre e información de contacto de los controladores de datos
  • La finalidad del tratamiento de datos
  • Descripción adecuada de las categorías de los datos, los usuarios y los destinatarios de los datos
  • Un plazo aproximado para el tratamiento de las distintas categorías de datos
  • Descripción de las medidas técnicas de seguridad de una organización

Evaluación de impacto de protección de datos (DPIA)

DPIA o la Evaluación de impacto de protección de datos es un proceso que ayuda a una organización a actualizarse para cumplir con los estándares de GDPR y cumplir con él. Es principalmente un proceso de mantenimiento de registros. Es obligatorio en los casos en que existan posibilidades de que el tratamiento de los datos pueda suponer un riesgo para la privacidad de los interesados. El DIPA debe constar por escrito para comodidad de la organización.

DIPA incluye lo siguiente:

  • Descripción de los datos tratados
  • Finalidad del tratamiento de datos
  • Un informe valorativo de los requisitos y alcance del tratamiento de datos en relación con su finalidad
  • Una evaluación de los factores de riesgo.
  • Descripción de las medidas adoptadas para hacer frente a los riesgos

Esto es lo que necesita para comenzar con el cumplimiento total:

Hay muchas maneras diferentes de cumplir con GDPR. Los principales requisitos para este propósito son la política de privacidad para los sitios web de comercio electrónico, el consentimiento de los usuarios para recopilar sus datos personales y una política de notificación de cookies en caso de que utilice cookies. La forma más fácil de cumplir con estos requisitos es usar un complemento de WordPress. Recomendamos dos complementos fáciles de usar llamados WP Legal Pages Pro y WP Cookie Consent.

WP Páginas Legales PRO

2

WP Legal Pages Pro es una poderosa herramienta de WordPress que lo ayuda a crear documentos legales a nivel de abogado en su sitio web de WordPress con solo unos pocos clics. Viene con más de 25 plantillas prediseñadas. Este complemento de política de privacidad de WordPress incluye la política de privacidad de GDPR para sitios web de comercio electrónico. Todo lo que tiene que hacer es instalar y activar el complemento, importar la plantilla, agregar sus detalles y hacer clic en el botón "Publicar" para que su sitio web cumpla con GDPR.

Consentimiento de cookies de WP

3

WP Cookie Consent es un elegante y moderno complemento de consentimiento de cookies de WordPress que lo ayuda a hacer que su sitio cumpla con GDPR mediante el uso de una barra de cookies personalizada. Le permite crear avisos de cookies sin ninguna dificultad en cuestión de minutos. Puede mostrar u ocultar estos avisos según la geolocalización. Hay un escáner de un solo clic que detecta todos los sitios web y las cookies de terceros automáticamente mientras está habilitado. Puede editar los detalles de las cookies manualmente.

Pensamientos finales

En este artículo, hemos tratado de dar una idea sobre el marco legal de GDPR y el cumplimiento de comercio electrónico. También proporcionamos una lista de verificación detallada de los requisitos de GDPR para ayudarlo a que su sitio web cumpla con la regla de privacidad recientemente implementada. Al final del artículo, sugerimos dos complementos receptivos y amigables para principiantes diseñados para generar documentos legales requeridos por GDPR. Puede tomar los complementos y continuar. En cuestión de minutos, podrá hacer que su sitio cumpla con el RGPD.

Si te ha resultado útil el artículo, compártelo en Twitter y Facebook. Deje sus opiniones en la sección de comentarios a continuación. Nos encantaría escuchar sus comentarios. Si necesita más información, no dude en comunicarse con nosotros. Nos pondremos en contacto con usted pronto. Suscríbete a nuestro canal de YouTube para ver nuestros tutoriales en vídeo.

Descargo de responsabilidad: esta es la contribución de un invitado del blog del vecino