• Blog
  • The General Data Protection Regulation of the European Union: Our battle plan.

El Reglamento General de Protección de Datos de la Unión Europea: Nuestro plan de batalla.

6 años, 7 meses hace

Esta entrada del blog trata sobre el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE). Aunque cubro los aspectos básicos del GDPR, me centro principalmente en cómo afecta a freesewing.org, y qué tenemos previsto hacer en los 100 días que quedan antes de que el GDPR entre en vigor.

Es una lectura un poco larga, así que aquí tienes un índice:

Reflexiones sobre el GDPR de la UE

Tengo una relación de amor/odio con la Unión Europea. Me encanta lo que hacen y lo que representan, odio cómo lo hacen.

Lo entiendo perfectamente tío

El GDPR no es diferente. Es una legislación importante que sube el listón de la privacidad en línea, lo cual es estupendo. Pero mientras leía sobre el tema, sentí el impulso de rabiar porque OMG burócratas.

Permíteme que te lo explique.

La privacidad necesita protección

Para bien o para mal (yo creo que para mal), Internet se ha instalado en un modus operandi en el que pagas por cosas gratis con tus datos personales. Algunos lo llaman personas que cultivan, y creo que es un término estupendo.

Los espantosos cinco aspiran cada vez más nuestra vida personal. Aparte de no conectarnos nunca, parece que hay muy poco que podamos hacer al respecto.

Por qué la UE es lo mejor

Este problema es demasiado grande para abordarlo cualquiera de nosotros. ¿Quién podría hacer frente al poder combinado de los gigantes tecnológicos?

Bueno, ¿qué te parece este CV?

  • Multan a Facebook con 110 millones de euros por declaraciones engañosas sobre su compra de WhatsApp
  • Condena a Amazon a pagar 250 millones de euros de impuestos adicionales en Luxemburgo
  • Multa de 2.400 millones de euros a Google por abusar de su posición dominante en las búsquedas
  • Condena a Apple a pagar 13.000 millones de euros de impuestos adicionales en Irlanda

Somos la UE, zorra

Cuando se trata de los gigantes tecnológicos, la Unión Europea es todo palo y nada de zanahoria.

El Reglamento General de Protección de Datos impone políticas de privacidad que respetan los derechos de los usuarios. Se aplica a todos los ciudadanos de la UE, todo el tiempo y en todas partes.

No importa si eres un monstruo de Silicon Valley, respeta los derechos de los ciudadanos de la UE o enfréntate a la ira de la eurocracia:

Las organizaciones que incumplan el GDPR pueden ser multadas con hasta el 4% de la facturación global anual o 20 millones de euros (la cantidad que sea mayor).

El 4% de la facturación mundial es un palo muy grande.

Por qué la UE es lo peor

Cómo me imagino que es un Grupo de Trabajo del Artículo 29

Como la UE es la UE, el reglamento es una mezcla de objetivos e ideales elevados, diluidos por los grupos de presión, y complicados por el compromiso necesario para conseguir la adhesión de 28 Estados miembros.

Las intenciones son estupendas, es una gran idea, pero están haciendo un pésimo trabajo vendiéndola… como siempre.

La aplicación práctica está en manos del llamado Grupo de Trabajo del Artículo 29 que actualmente se mantiene ocupado diseñando iconos (no me lo estoy inventando ) Cambiará su nombre por el de Consejo Europeo de Protección de Datos ** el 25 de mayo, porque no querrás ponerte demasiado cómodo con toda esta jerga ahora, ¿verdad?

El RGPD en la práctica

Si buscas asesoramiento experto sobre el cumplimiento del GDPR, éste no es tu sitio.

Pero si tienes curiosidad sobre el GDPR y lo que se necesita para que un sitio web como freesewing.org cumpla la normativa, sigue leyendo.

Lectura adicional

Si realmente quieres saber qué es el GDPR, lo mejor que puedes hacer es leer la maldita cosa. No es ninguna ciencia espacial.

Si los textos legislativos te hacen huir a las colinas, el ICO del Reino Unido tiene fácilmente una de las mejores guías sobre el GDPR.

Es bueno saberlo

Algunas cosas que debes saber antes de sumergirnos en el GDPR:

Quedan 100 días

El GDPR se adoptó en 2016, pero no se hará efectivo hasta el 25 de mayo de 2018.

Hasta ese día, tienes un pase. Después de ese día, será de verdad. Lo que significa que nos quedan 100 días para poner orden en nuestra casa.

Hay exenciones para las PYME

Las organizaciones que emplean a menos de 250 personas están exentas de algunos de los aspectos más burocráticos del GDPR, como un montón de requisitos de documentación.

Esencialmente, aunque sigues teniendo que hacer lo correcto, hay mucho menos papeleo que rellenar.

Freesewing emplea a cero personas, así que estamos libres de culpa.

Hay disposiciones adicionales para los datos sensibles

Las medidas corporales por sí solas no son datos sensibles

El GDPR tiene disposiciones adicionales para datos sensibles como datos biométricos, elaboración de perfiles y un montón de cosas más.

Esto fue motivo de preocupación porque recogemos medidas corporales, y una de nuestras preguntas era si eso se puede considerar datos biométricos.

Resulta que no. Los datos biométricos son los que puedes utilizar para identificar a una persona, como una huella dactilar o un escáner del iris. Las medidas corporales por sí solas no son datos sensibles.

Recogida de datos mediante consentimiento

Para recopilar datos, se necesita la denominada base legal para el tratamiento de datos.
Hay diferentes tipos, pero el que se aplica a nosotros (y a la mayoría de los servicios en línea) es consentimiento.

En este caso, tu base jurídica para procesar los datos es que has pedido a la persona que obtenga sus datos y te los ha facilitado libremente.

Eso es sencillo y tiene sentido. Pero el GDPR se toma muy en serio que este consentimiento sea libremente dado, y no arrancado a regañadientes.

Para evitar que las empresas levanten un gran muro de jerga legal que la gente tenga que aceptar, el GDPR esboza una serie de principios a los que debe atenerse este consentimiento. He aquí una lista no exhaustiva:

  • las personas deben tener opciones y control reales
  • el consentimiento requiere un “opt-in” positivo, no se permiten casillas marcadas previamente ni nada parecido
  • debe haber una declaración muy clara que explique lo que la gente está aceptando
  • estas solicitudes de consentimiento deben ser independientes de las condiciones &
  • el consentimiento tiene que ser granular, necesitas un consentimiento individual para cosas diferentes, y no puedes pedir un consentimiento general
  • debe ser fácil para la gente redibujar el consentimiento
  • el consentimiento del tratamiento de datos no debe ser una condición previa para un servicio

Viendo esa lista, no puedo evitar pensar que la legislación sería mucho más sencilla si los legisladores pudieran limitarse a escribir no seas gilipollas y ya está.

Granularidad del consentimiento

Recuerda que no podemos obtener un consentimiento general. Necesitamos obtener el consentimiento para cualquier tipo de tratamiento de datos que hagamos.

Para freesewing.org, hemos identificado tres tipos diferentes de tratamiento de datos:

  • Datos del perfil
  • Datos del modelo
  • Datos del patrón

Para cada uno de ellos, necesitaremos obtener el consentimiento del usuario, asegurándonos de que es consentimiento real como se pretende en el GDPR.

A continuación se muestra una maqueta del aspecto que podría tener para cada tipo de datos:

Estos modelos ya no están disponibles

Ten en cuenta que las maquetas incluidas originalmente en este post ya no están disponibles en . En su lugar, esta funcionalidad se ha implementado en el sitio web.

Momento del consentimiento

El GDPR establece que debes pedir el consentimiento cuando se recojan los datos.

Con nuestros tres tipos de tratamiento de datos, eso significa que el consentimiento debe pedirse en distintos momentos:

  • Datos del perfil: Al registrarte en el sitio web
  • Datos del modelo: Al crear el primer modelo
  • Datos del mecenas: Al hacerte mecenas

Esto (también) requerirá algo de trabajo extra para integrarlo en el sitio.

Respetar los derechos fundamentales en el tratamiento de datos

La UE consagra derechos básicos para sus ciudadanos que deben respetarse al procesar datos.

Veamos cada uno de estos derechos y su repercusión en freesewing.org.

El derecho a ser informado

Tienes que ser transparente sobre cómo utilizas los datos personales. Por qué la recopilas, cómo la utilizas, etc.

Informar a los usuarios es algo en lo que todavía estamos trabajando. En todo caso, esta entrada de blog forma parte de ese esfuerzo.

Tendremos que diseñar los avisos de privacidad individuales, pero también una política de privacidad más global, así como para asegurarnos de que los usuarios están informados de todos sus derechos.

Aunque esto requerirá algo de trabajo, no espero que haya ningún problema.

El derecho de acceso

Las personas tienen derecho a saber que se procesan sus datos y a acceder a ellos.

Ya cumplimos la normativa, puesto que todos los datos que los usuarios introducen en el sitio web también son accesibles para ellos.

El derecho a la rectificación

Las personas tienen derecho a corregir sus datos si no son correctos.

Ya cumplimos la normativa, puesto que todos los datos que los usuarios introducen en el sitio web también pueden ser editados por ellos.

El derecho a borrarse

Las personas tienen derecho a que se eliminen/borren sus datos.

Ya lo cumplimos, ya que los usuarios pueden eliminar sus modelos o toda su cuenta en cualquier momento.

El derecho a restringir el procesamiento

Este derecho significa que los usuarios deben poder poner un freeze a todo tratamiento de datos, sin llegar a la supresión de sus datos.

Actualmente no ofrecemos esta posibilidad, y tendremos que añadir esta funcionalidad al sitio.

El derecho a la portabilidad de datos

Las personas no sólo tienen derecho a exportar todos sus datos, sino que esa exportación también debe tener un formato que les facilite llevar sus datos a otro lugar.

Nosotros ya cumplimos, ya que permitimos a los usuarios exportar todos sus datos, y ponerlos a disposición en diferentes formatos estándar (YAML y JSON).

El derecho al objeto

El derecho de oposición se aplica específicamente a:

  • tratamiento por interés público o por autoridades oficiales
  • tratamiento para marketing directo
  • tratamiento para la ciencia/investigación histórica/estadística

En estos casos, las personas pueden oponerse a este tratamiento específico.

Esto se nos aplicará cuando empecemos a publicar datos anonimizados de modelos, algo que está en nuestra hoja de ruta.

El motivo de publicar estos datos es que queremos disponer de un conjunto de datos de medidas corporales reales de , en lugar de las medidas estándar de que se suelen utilizar en el sector.

Es algo sobre lo que escribiremos más adelante, pero esencialmente esto entra dentro de la categoría investigación científica/estadística . Y aunque los datos estén anonimizados, debemos respetar el derecho de los usuarios a oponerse a este tratamiento.

Como tal, deberíamos añadir la posibilidad de oponerse a este uso específico de los datos.

Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles

Las personas tienen derechos adicionales cuando se trata de la elaboración de perfiles o de decisiones tomadas por IA o algoritmos sin participación humana.

Esto no es relevante en nuestra situación.

Privacidad por diseño

La UE no se contenta con lanzar un par de preguntas de consentimiento y respetar los derechos de las personas al procesar datos. También quiere asegurarse de que tu intimidad esté (mejor) protegida cuando las cosas vayan mal.

Por eso aboga por privacy by design. Aunque es un concepto difícil de concretar en la legislación, el propósito de es claro: quieren que todo el mundo tenga en cuenta la privacidad desde el principio de su proyecto/producto/negocio, y no como una idea tardía.

Cosas como la encriptación (tanto en tránsito como para los datos en reposo), los seudónimos y la caducidad de los datos se sugieren como cosas a tener en cuenta al diseñar.

Obviamente, la UE no va a venir a comprobar tu código para ver si te has tomado en serio la privacidad desde el diseño. Pero puede influir (y probablemente influirá) cuando las cosas vayan mal.

Imagina dos empresas que tienen una filtración de datos, una de ellas no ha hecho mucho por salvaguardar la privacidad de sus usuarios, mientras que la otra ha tomado privacy by design medidas para mitigar el daño.

Parece obvio que la UE va a ser más dura con la empresa que ni siquiera lo intentó.

Lo que ya estamos haciendo

Ya hacemos una serie de cosas impulsadas por un enfoque de privacidad por diseño . Por ejemplo:

  • Utilizamos seudónimos para las cuentas de usuario
  • No compartimos ningún dato con terceros
  • No incluimos ningún código de seguimiento, ni analítica
  • No utilizamos cookies
  • No tenemos inicios de sesión sociales, botones de “me gusta” ni otras cosas por el estilo
  • No mostramos anuncios
  • No ejecutamos código JavaScript de terceros
  • Utilizamos encriptación en todos los transportes

Hay más información al respecto en esta entrada del blog: Las decisiones que he tomado para proteger tu privacidad. O por qué no recibirás ninguna galleta.

Esto ya constituye una muy buena base para un sitio web respetuoso con la privacidad. Pero como de todos modos tendremos que hacer cambios para el GDPR, estamos considerando otras opciones para subir aún más el listón de la privacidad. Concretamente, qué podemos hacer para limitar el daño a nuestros usuarios en caso de que se produzca una fuga de datos.

Restricción del almacenamiento de datos

Algunos de los datos más sensibles que almacenamos actualmente son la dirección y la fecha de nacimiento de nuestros clientes de alto nivel.

Sin embargo, el sitio no necesita esta información para funcionar. Sólo la necesitamos para fines administrativos; Envío de regalos y tarjetas de cumpleaños a nuestros clientes.

Por tanto, no hay necesidad real de mantener estos datos en la base de datos de freesewing. También podríamos anotar esta información en un cuaderno que tengamos en la mesita.

Así que, como parte de nuestros cambios relacionados con el GDPR, eliminaremos esta información de la base de datos y la almacenaremos sin conexión.

Cifrado de datos en reposo

Ya ciframos todos los datos en tránsito. Pero, actualmente estamos considerando añadir la encriptación de los datos en reposo.

La idea es encriptar todos los datos que puedan identificar potencialmente a un usuario. Como por ejemplo

  • Dirección de correo electrónico
  • Nombre de usuario
  • Nombres de los modelos
  • Notas del modelo

Esto añadiría una capa adicional de defensa de la privacidad de nuestros usuarios en caso de que, de algún modo, nuestra base de datos se vaciara.

Aunque la aplicación de este cambio no será trivial y conllevará una penalización de rendimiento, creo que merece la pena estudiarlo en .

Conclusión

Aunque todavía nos queda trabajo por hacer, ya cumplimos gran parte del GDPR, especialmente cuando se trata de respetar los derechos de los usuarios:

  • El derecho a ser informado
  • El derecho de acceso
  • El derecho a la rectificación
  • El derecho a borrarse
  • El derecho a restringir el procesamiento
  • El derecho a la portabilidad de datos
  • El derecho al objeto
  • Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles

Actualmente estamos trabajando en el derecho a ser informado y tenemos un plan para los cambios necesarios para respetar el derecho a restringir el tratamiento y el derecho de oposición.

En el sitio de recogida de datos, tenemos que concretar los detalles de nuestros avisos de privacidad. También redactaremos una política de privacidad detallada que agrupe toda la información de los distintos avisos.

Tendremos que introducir cambios en la incorporación de usuarios para asegurarnos de que los avisos se presentan en el momento correcto. Por no mencionar que tendremos que llevar un registro de quién dio su consentimiento para qué.

Acciones

  • Borrador de avisos de privacidad para datos de perfil/modelo/patrón
  • Integrar el consentimiento en la incorporación de usuarios, la creación de modelos y la inscripción de clientes
  • Hacer que la funcionalidad del sitio dependa del consentimiento
  • Proporcionar un panel de privacidad centralizado donde las personas puedan revisar su configuración/consentimiento de privacidad
  • Añade notificaciones por correo electrónico cada vez que se modifique el consentimiento
  • Proporcionar una forma de que la gente pueda congelar su cuenta
  • Proporcionar un medio para que las personas se opongan a que los datos de sus modelos se utilicen para investigación y estadísticas
  • Redacta y publica una política general de privacidad
  • Cifrar los datos sensibles de la base de datos

Parece que tenemos mucho trabajo por delante.

Comentarios

Mi opinión personal es que el GDPR es algo bueno. Pero quiero conocer tu opinión sobre los cambios expuestos en esta entrada del blog.

Así que, por favor, envíanos tus opiniones y comentarios. Al fin y al cabo, estamos hablando de tus datos.

Written by

joost

1
admin
Monthly roundup - February 2018: Core 1.7.0 with Sven, Carlton, and Carlita improvements. Plus GDRP, vim, and JaegerMonthly roundup - January 2018: Inkscape DPI, version awareness, Bail, and Carlita