Seguridad y privacidad de datos en tu aplicación

En este blog te enseñamos todo lo que debes saber sobre la seguridad y la privacidad de datos en tu aplicación.

Para ello, te lo vamos a explicar de forma ordenada para que tengas todos los términos claros y sepas que debes exigir a tu aplicación de gestión empresarial.

¿Qué es el aviso de privacidad y cómo se protegen los datos de los usuarios?

El aviso de privacidad se define como un documento legal que debe presentar una empresa que almacena o trabaja con los datos de sus clientes.

En este documento se compromete a mantener toda la información del cliente a salvo, y con la utilización necesaria que ambas partes han acordado.

Este aviso es obligatorio si tu web o aplicación recoge datos personales del usuario. Al mismo tiempo, tiene que estar adjunto el aviso legal y la política de cookies.

¿Es obligatorio incluir una política de privacidad en mi página web?

Claro que sí, en caso de que la web trate datos personales de los usuarios o clientes.

Como bien sabéis existen muchos tipos de webs (tiendas comerciales online, web empresariales y corporativas, redes sociales, páginas de datos e información, etc.).

Se podría decir que los únicos exentos de incluir las políticas de privacidad son los blogs y páginas personales. Pero siempre que no recaben ningún tipo de información de los usuarios.

¿Cuáles son los datos de carácter personal?

Los datos de carácter personal son cualquier información referente a personas físicas identificadas o identificables, pudiendo ser identificable toda persona cuya identidad se determine mediante un identificador (nombre, DNI/NIF, datos de localización, etc).
También mediante el uso de uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de las personas.

Dependiendo del tipo de datos que se traten, éstos pueden ser, por ejemplo, identificativos (nombre, apellidos, número del documento nacional de identidad), referidos a tu situación laboral, financiera o de salud.

También existen las categorías especiales de datos, en los que además de los datos de salud, se encuentran los que puedan revelar tu origen étnico o racial, opiniones políticas, convicciones religiosas o fisiológicas, etc.

Importancia del RGPD

El nuevo reglamento general de protección de datos otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo digital.

El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y a cómo quieren recibir información de las empresas.

Sin embargo, muchas otras empresas están buscando ayuda para hacer del RGPD un aspecto diferencial y un valor añadido. 
Su nueva estrategia pasa por considerar que no hay mejor valor comercial que conocer en profundidad los datos que les suministran sus clientes presentes y futuros.

¿Qué deben tener en cuenta las empresas con el marco legal actual?

En esencia el nuevo reglamento de protección de datos endurece el control sobre los datos personales y otorga a cada individuo el derecho a que sean utilizados o no por cualquier entidad, pública o privada, así como la manera en la que se accede a ellos y retirar el acceso.

Mayor transparencia

Más transparencia con las personas a cuya información se accede.

A partir de ahora, con el nuevo reglamento de protección de datos, las empresas deben explicar a los usuarios de quien recojan sus datos para qué los están recopilando y demostrar que esos datos sólo están siendo empleados para los fines recabados.

Adiós al consentimiento tácito

Los usuarios, por su parte, tendrán la capacidad de retirar su consentimiento y eliminar la información de los servidores de la empresa.

Se terminó el consentimiento tácito. El nuevo reglamento general de protección de datos obliga a muchos más controles para garantizar que, quien cede sus datos, lo hace con pleno conocimiento.

A partir de ahora las empresas deben revisar y rehacer el conjunto de contratos y cláusulas.

Las empresas son responsables de su seguridad

Es cada empresa la que determina cuáles son los niveles de riesgo en los que incurre y las medidas que debe adoptar para garantizar que la información de cualquier persona está correctamente custodiada y es utilizada de forma correcta.

Se terminó la homogeneidad en la seguridad de los datos.

Proactividad en la comunicación de brechas de seguridad

Actuar de forma proactiva en la comunicación de fallos.

Ante una filtración de Datos, el responsable de tratamiento debe notificar los fallos de seguridad en un plazo de 72 horas.

Este experto tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, en caso de existir algún riesgo para sus derechos.

Nueva figura del DPO

El RGPD propicia la creación de la nueva figura del Data Protection Officer (DPO) o delegado de protección de datos.

Una figura esencial en el nuevo reglamento europeo y cuya misión es identificar todos los posibles riesgos y buscar sus soluciones.

Su presencia es obligatoria para todas las administraciones públicas y en aquellas organizaciones con tratamiento de datos a gran escala. Puede ser interno o externo a la compañía.

Nuevos requerimientos para datos de menores

El nuevo reglamento general de protección de datos considera que el consentimiento parental será requerido para procesar datos de menores de 16 años en servicios online.

Los Estados miembros pueden legislar con el fin de rebajar la edad de consentimiento, aunque en ningún país podrá situarse el requerimiento del consentimiento paternal por debajo de los 13 años.

Nuevas certificaciones

El reglamento de protección de datos personales concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión.

Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas.

Privacy by design & by default

Medidas Tecnológicas para la Privacidad desde el diseño y por defecto.

El nuevo reglamento general de protección de datos establece que todo proyecto, ya sea comercial, de creación de una página web, de desarrollo de entorno tecnológico, etc. debe evaluar desde el inicio de su diseño y por defecto — Privacy by design & by default— los riesgos que pueden comportar para la privacidad de los datos personales que incorporará.

Además, debe verificar que se han puesto en marcha las medidas necesarias para eliminarlos o mitigarlos y, por último, que en todo momento los tratamientos de datos se ajusten a la normativa de protección de datos en vigor.

Adaptación del RGPD a cada empresa

Debido a todos los cambios respecto a la Ley Orgánica de Protección de Datos (LOPD), la AEPD ha preparado unas guías con instrucciones donde se fijan conceptos, metodología, ejemplos y modelos a seguir, recomendaciones e incluso listados de posibles riesgos de incumplimiento del RGPD y seguridad.

No son guías estándar, sino que deben adaptarse a cada empresa con la ayuda de un profesional externo.

Derechos del usuario con la RGPD

El derecho de acceso es el derecho que tiene el interesado a conocer y obtener gratuitamente información sobre estos extremos:

Sobre si sus datos de carácter personal están siendo objeto de tratamiento; y, en caso afirmativo, sobre las categorías de datos objeto de tratamiento y la finalidad del tratamiento que se esté realizando.

Sobre el origen de tales datos (cuando no los haya obtenido del interesado) y las comunicaciones que se hayan hecho de éstos o que se prevean realizar.

De ser posible, el plazo previsto de conservación de los datos personales; y de no ser posible, los criterios utilizados para determinar este plazo.

  • El derecho a solicitar la rectificación, supresión o limitación del tratamiento o a oponerse al tratamiento de sus datos.
  • El derecho a presentar una reclamación ante la AEPD.
  • El derecho a ser informado de las garantías adecuadas en caso de que sus datos se transfieran a un tercer país.
  • El derecho a obtener una copia de los datos personales objeto de tratamiento, sin que ello afecte a derechos de terceros.

Si queréis estar al tanto de nuestras novedades y de otras noticias del sector, acceder a nuestro blog.

READ MORE

Related news