Una consulta recurrente que me suelen hacer es cómo se adapta una web sencilla, que no sea de comercio electrónico a la nueva normativa de protección de datos.
Hay que diferenciar entre las páginas que ya están adaptadas a la LOPD y las que no, en este post hablaremos sobre las que si que cumplían con la anterior ley orgánica de protección de datos.
Para cumplir con el nuevo RGPD en una web sencilla habrá que ir analizando todo el proceso de recogida/tratamiento de datos y aplicar los nuevos requerimientos del reglamento.
En primer lugar nos fijaremos en la privacidad desde el diseño y por defecto, lo que implica hacer una evaluación de riesgos, en función del resultado de la evaluación habrá que implantar medidas técnicas y organizativas para proteger los datos personales que recabemos en la web.
La evaluación de riesgos nos dirá a qué amenazas están expuestos los datos que tratamos, y en qué medida, es evidente que no corre el mismo riesgo de que un empleado robe datos quien trabaja con una persona que quien lo hace con 100, o no es el mismo riesgo el que corre una base de datos con nombres y direcciones de correo que aquélla que guarda datos de tarjetas de crédito o de salud.
Por lo tanto las medidas a tomar serán unas u otras en función de los riesgos, pueden ser la seudonimización, encriptación, sesiones únicas, cortafuegos, antivirus, etc. También si los datos que tratamos son de los considerados "especiales", nos veremos en la obligación de realizar una Evaluación de Impacto.
Aunque se ha suprimido la obligación de notificar la existencia de ficheros, en determinados casos, se hace obligatorio llevar un registro de actividades, con él podremos demostrar que cumplimos con el "principio de acountability", que significa que estemos en posición de demostrar que hemos dedicado los esfuerzos necesarios para cumplir con el RGPD.
¿Debo pedir el consentimiento a mis clientes?
A partir del 25 de mayo todo responsable de tratamiento de datos deberá informar a la persona de la que recoge sus datos de para qué lo recoge, qué datos se van a guardar, durante cuánto tiempo, quién es el responsable, cómo puede comunicarse con él, qué derechos tiene sobre sus datos, cómo ejercitarlos, qué finalidad tiene la recogida o si tiene varias, cada una de ellas, además el usuario deberá prestar su consentimiento al tratamiento de manera clara, inequívoca y expresa.