¿Sabe cómo procesar datos bajo GDPR? Entonces pase esta prueba rápida.

Publicado: 2018-03-10
¿Sabe cómo procesar datos bajo GDPR? Entonces pase esta prueba rápida.

Algunos cuestionarios te dicen si tu personalidad es más una “primavera” o un “otoño”.

Algunos le dicen si la Autoridad de Protección de Datos tiene o no el derecho legal de multar a su empresa por millones de dólares.

Adivina cuál es este.

Es hora de jugar, ¿cumple con el RGPD?

1.

¿Cumple con el RGPD?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

2.

¿Cumple con el RGPD?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

3.

¿Cumple con el RGPD de Oli Gardner?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

4.

¿Cumple con SuperOffice GDPR?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

5.

¿Cumple con el RGPD?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

6.

¿Cumple con el RGPD de Waitrose?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

7.

¿Cumple con el RGPD de Woolworths?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

8.

¿Cumple Santander con el RGPD?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información

9.

¿Cumple con el RGPD?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

10

¿Cumple con el RGPD de Lancome?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

11

¿Cumple con el RGPD?
  1. Esto es compatible.
  2. Esto no es compatible.
  3. Hmm... necesitamos más información.

clave de respuesta

  1. B
  2. B
  3. B
  4. A
  5. B
  6. B
  7. A
  8. B
  9. A
  10. C
  11. C

Si obtuviste... 11 de 11

¡Felicitaciones! Eres una superestrella del RGPD... o algo así.

Los títulos, elogios e insignias no son importantes. Pero el cumplimiento de GDPR lo es en gran medida.

Y seguro que parece que conoce el procesamiento de datos personales (a menos que lo haya adivinado), ya sea para cookies, correos electrónicos o datos confidenciales.

Así que date una palmadita en la espalda. Comparte tu sabiduría. Prepara a tus compañeros de trabajo. Y vuelve a leer las explicaciones a continuación, si hay algo de lo que no estás seguro.

Si obtuviste... cualquier cosa menos de 11 de 11.

esto es dificil

Bien. Lo entendemos. Este material es difícil.

Quizá quieras seguir leyendo….

¿Perder uno? ¿Adivina algunas veces? ¿Necesitas un recordatorio? Aquí hay un desglose rápido.

1. segundo

¡Oye, mira, es ese ejemplo que quizás hayas visto en Internet!

Así es, amigos, no verifiquen previamente sus casillas de consentimiento. La gente tiene que dar su consentimiento activamente ahora.

“Solo quise hacer clic en el botón “siguiente”. Ni siquiera vi esa casilla de verificación. ¿Ahora estoy en su lista de correo electrónico?” nunca es algo que sus usuarios deban pensar.

Esto es lo que dice el RGPD sobre el procesamiento del consentimiento, para que sea oficial:

Consentimiento del interesado significa cualquier indicación libremente dada, específica, informada e inequívoca de los deseos del interesado por la cual él o ella, mediante una declaración o una clara acción afirmativa, significa acuerdo para el procesamiento de datos personales relacionados con él o ella – Artículo 4

Acción clara, afirmativa. Mantenga esas casillas en blanco.

2. segundo

No, no cumple.

La clave aquí es algo llamado "empaquetado", que no está permitido según el RGPD. Aquí hay un par de citas diferentes que le dan un "no".

“Si el consentimiento del titular de los datos se otorga en el contexto de una declaración escrita que también se refiere a otros asuntos, la solicitud de consentimiento se presentará de manera que se distinga claramente de los demás asuntos (…) ” – Artículo 7(2)

“El consentimiento debe cubrir todas las actividades de procesamiento llevadas a cabo con el mismo propósito o propósitos. Cuando el tratamiento tenga múltiples finalidades, deberá otorgarse el consentimiento para todas ellas ” – Considerando 32

Entonces, ¿asistir a un evento? Ese es un claro "propósito diferente" que un boletín mensual. El consentimiento debe solicitarse por separado.

3. segundo

Esto se parece a nuestro formulario estándar y persuasivo de aceptación. Y esto es todo tipo de incumplimiento.

En primer lugar, está solicitando recopilar una gran cantidad de información que no es necesaria para que el sujeto de datos alcance su objetivo (es decir, enviarles el PDF que se están registrando para recibir). Esto va en contra del requisito de GDPR de minimización de datos o "privacidad por diseño". La mejor práctica aquí es: si está recopilando información y no está claro por qué la está recopilando, debe hacérselo saber a sus usuarios.

Facebook ofrece un gran ejemplo de cómo hacer esto bien:

Facebook ofrece un gran ejemplo

Además, este ejemplo, de nuevo, es empaquetado.

Es un paquete un poco menos atroz que el ejemplo anterior. Aquí, al aceptar recibir el PDF, al menos está dando su consentimiento para recibir contenido. Una suscripción a una lista de correo electrónico y una descarga, en este sentido, tienen un "propósito" similar. Aún así, dicho como está, sería difícil enmarcarlos como "lo mismo". Por lo tanto, el consentimiento debe darse por separado.

4. Un

¡Oye, no, este es bastante bueno!

Ahora podría argumentar que NO NECESITAN recopilar el nombre de una empresa o un número de teléfono aquí. Entonces, adaptándose a la privacidad por diseño, esos campos deben omitirse.

Pero teniendo en cuenta que su objetivo de usuario aquí es probar ejecutar un CRM, y ya sabe, administrar las relaciones con los clientes para su empresa, tiene sentido que SuperOffice quiera saber quién es esa empresa.

Así que les daremos un pase.

Además, mira lo bonitas, segmentadas y sin marcar que son esas casillas. Están pidiendo una opción explícita en su política de privacidad. Han pedido un consentimiento activo por separado.

Cuando se instala GDPR, esto debería funcionar.

5. segundo

Ellos. eran tan. cerca.

Hasta esa segunda casilla y la mención de terceros.

Según el RGPD, se debe nombrar a cualquier tercero con el que desee compartir sus datos. "Terceros de confianza" no es lo suficientemente claro. Las categorías no funcionan. Si alguien va a optar por escuchar a terceros, debe saber exactamente quiénes son esos terceros.

6. segundo

Entonces, la buena noticia es... que acertaron con los terceros.

Obtuvieron derecho de consentimiento desagregado.

Pero esto es una exclusión voluntaria, no una aceptación voluntaria.

Será contactado a menos que marque "no".

Eso no me suena como un consentimiento activo y afirmativo.

7. Un

10/10.

Suscripción granular de Woolworth NAILS.

Si te preguntas por qué me entusiasmé irracionalmente con este ejemplo, esto es algo que muchas formas arruinan.

Un error común es pedir consentimiento para enviar materiales, pero olvidarse de separar el “cómo”.

Entonces, un recordatorio: si desea enviar mensajes de texto, necesita un consentimiento específico para enviar mensajes de texto. Si desea enviar correos electrónicos, necesita un consentimiento por separado y específico para enviar correos electrónicos.

Woolworth también le dice exactamente qué tipo de materiales recibirá de ellos. Esa es una buena idea, tanto para el cumplimiento de GDPR como para persuadir a su audiencia para que se registre.

8. B

Un momento de silencio por la suscripción suave, porque GDPR lo ha matado.

Las cookies, con identificadores únicos, son datos personales según el RGPD.

Y como recordará, los datos personales requieren un consentimiento activo, inequívoco, específico, yada yada yada.

Esto significa que toda la tontería de "usando este sitio estás de acuerdo" ya no es legal. Y no puede comenzar a ejecutar cookies hasta que obtenga un sí afirmativo.

(Este es un tema grande, complicado y desordenado, que tiene que ver con la intersección de GDPR y ePrivacy. Puede leer más al respecto aquí).

9. Un

Magnífico

Esto hace todo lo que el número 8 hizo mal, correcto.

Le dice exactamente para qué se utilizan esas cookies. Y luego te da una opción clara para aceptarlos o no aceptarlos.

Y como broche de oro final, le permite expandir y seleccionar con qué cookies está de acuerdo y cuáles no.

Es una cosa hermosa, desde un punto de vista legal.

(Sin embargo, desde un punto de vista de marketing, no les ha dado a sus usuarios muchas razones para optar por participar o no. Tal vez una mejor explicación del beneficio de las cookies de su sitio podría ayudar en ese esfuerzo).

10. C

Entonces, una especie de pregunta capciosa.

Como mencionamos, si estamos hablando del consentimiento aprobado por GDPR, esto falla. Las casillas marcadas previamente son un "no".

Pero si nos preguntamos "¿Lancome tiene derecho a enviarle un correo electrónico a esta persona?", Tenemos algunas cosas más que evaluar.

Porque en caso de que esto no fuera lo suficientemente complicado, el consentimiento no es la única forma de procesar legalmente los datos personales .

Introduzca: la condición de intereses legítimos.

Pero no te emociones. El procesamiento de datos debido a los "intereses legítimos" percibidos es complicado.

Esta condición es más para situaciones de "Necesitaba procesar su número de cuenta para realizar servicios de prevención de fraude".

No casos de "legítimamente pensé que estaban interesados, así que... les envié un montón de correos electrónicos sin consentimiento".

Pero una cosa que parece darle a la gente el visto bueno tiene que ver con los datos de los clientes existentes.

Aquí está la línea en la legislación de la que están hablando:

Tal interés legítimo podría existir, por ejemplo, cuando exista una relación pertinente y adecuada entre el interesado y el responsable del tratamiento en situaciones como cuando el interesado es un cliente o está al servicio del responsable del tratamiento. ” –Considerando 47

La clave aquí es preguntarse: "¿Al realizar esta acción, me llevaría a mí (el sujeto de los datos) a esperar razonablemente que mis datos se utilizarán de esta manera?"

Entonces, si compro una camisa, ¿esperaría razonablemente recibir un correo electrónico confirmando mi compra? (¿Sin consentir explícitamente en recibir correos electrónicos?).

Sí, tienes un caso bastante bueno en el que se aplica el interés legítimo aquí.

¿Qué pasa con un aviso de que hay un gran descuento la próxima semana en un producto similar?

Su caso se está volviendo un poco más delgado.

¿Correos electrónicos semanales?

Papelrrrr fino.

Para ser honesto, más allá de sus confirmaciones de pedidos estándar, no nos arriesgaríamos. Pedir el consentimiento (¡correctamente!) es la forma más segura de asegurarse de que sus bases estén cubiertas.

Pero si realmente desea utilizar la condición de interés legítimo para procesar datos personales, le rogamos que lea esto primero.

11.C

OTRO GIRO DIVERTIDO EN ESTE.

GDPR describe una categoría separada de datos llamada "datos personales confidenciales". Y los requisitos de procesamiento son diferentes para este tipo de información.

Voy a admitirlo ahora mismo, este no es el mejor ejemplo. Así que fue una pregunta un poco cruel, y es un poco exagerado. (Hay una discusión complicada en este momento sobre en qué punto el peso de alguien cuenta como datos de salud desde el punto de vista de la privacidad de datos, si está interesado).

Aquí está el lenguaje exacto sobre qué datos cuentan como "sensibles", del Artículo 9:

Los datos personales confidenciales son datos personales que consisten en información sobre:

(a) el origen racial o étnico del interesado,

(b) sus opiniones políticas,

(c) sus creencias religiosas u otras creencias de naturaleza similar,

(d) si es miembro de un sindicato (en el sentido de la Ley de Relaciones Laborales y Sindicales (Consolidación) de 1992),

(e) su salud o condición física o mental,

(f) su vida sexual,

(g) la comisión o supuesta comisión por su parte de cualquier delito, o

(h) cualquier procedimiento por cualquier delito cometido o presuntamente cometido por él, la resolución de dicho procedimiento o la sentencia de cualquier tribunal en dicho procedimiento.

Entonces, digamos que esta aplicación recopila lo que, con seguridad, cuenta como datos sobre la "salud o condición física o mental" de un sujeto. Pregunta sobre condiciones médicas previas, registra su peso y presión arterial, o patrones de sueño, a lo largo del tiempo.

Si recopila información que cuenta como datos personales confidenciales, ¿entonces qué?

Si los datos personales de esta aplicación no fueran confidenciales, parece un formulario de admisión bastante compatible. Parece que debería ser un caso claro de intereses legítimos.

Te estás registrando para usar la aplicación. Quiere usar la aplicación. Usted da su consentimiento para usar la aplicación.

Y la aplicación realiza un seguimiento de su estado físico.

Eso sí, te parece legítimo, que te pidan datos sobre tu forma física. Además, hay una política de privacidad accesible y una declaración de términos de condiciones allí si desea saber cómo se utilizan esos datos.

Pero hay condiciones de procesamiento adicionales que debemos seguir, si se trata de "datos personales confidenciales".

  1. Los intereses legítimos ya no cuentan como condición de procesamiento.
  2. Si elige procesar en función de la condición de consentimiento, ya no solo tiene que ser "inequívoco", tiene que ser "explícito".

Esto significa que simplemente hacer clic en el botón "Registrarme" no es suficiente.

GDPR dice que necesita una declaración que "especifique la naturaleza de los datos que se recopilan, los detalles de la decisión automatizada y sus efectos, o los detalles de los datos que se transferirán y los riesgos de la transferencia" (Directiva 95/46/ CE, artículo 29).

O, como el ICO lo desglosa:

Esto sugiere que el consentimiento del individuo debe ser absolutamente claro. Debe cubrir los detalles de procesamiento específicos; el tipo de información (o incluso la información específica); los fines del procesamiento; y cualquier aspecto especial que pueda afectar a la persona, como las revelaciones que se puedan hacer.

Y LUEGO, una vez que las personas sepan todo eso, debe solicitarles una acción explícita. Como marcar una casilla que dice "Estoy de acuerdo" o "Doy mi consentimiento".

Básicamente: deben saber todo lo que estás haciendo con esos datos. Y deben decirle claramente que están de acuerdo con eso, con una acción afirmativa.

Entonces, si se trata de datos personales confidenciales, solo incluir su política de privacidad y los términos de servicio en letra pequeña después del formulario no es suficiente. Debería asegurarse de que las personas tuvieran la oportunidad de leerlo y luego marcar una casilla o hacer clic en un botón que dice "Estoy de acuerdo".