GDPR: cómo las pequeñas empresas pueden prepararse (y por qué no puede simplemente ignorarlo)

Comenzaré esta publicación de la misma manera que todas las publicaciones de blog sobre GDPR: diciendo, en letras mayúsculas, que NO SOY UN ABOGADO. No, en serio, espero que esta publicación sea útil para aquellos que están tratando de averiguar qué deben hacer con respecto al GDPR. Pero definitivamente, absolutamente, debería hablar con un abogado. Simplemente no hay forma de que pueda hacer esto usted mismo.

Con ese descargo de responsabilidad fuera del camino … Hemos estado trabajando para prepararnos para el Reglamento general de protección de datos (GDPR) de la UE durante los últimos meses y hemos logrado avances significativos antes de que la ley entre en vigencia el 25 de mayo de 2018. Tuvimos que tomar algunas decisiones interesantes y hacer concesiones a lo largo del camino, especialmente porque somos una empresa pequeña sin asesoría legal en el personal. Quería compartir algunas ideas sobre lo que aprendimos en el camino para cumplir con GDPR, con la esperanza de que ayude a agilizar el proceso para su negocio.

Primero, es importante tener en cuenta que esta no es solo otra ley de privacidad oscura que puede ignorar. TechCrunch describe con precisión la ley como “Protección de datos + dientes”. Karen Cohen escribió un resumen muy sucinto de lo que esto significa para usted:

Las empresas que no cumplan pueden ser sancionadas hasta con un 4% de la facturación mundial anual o multadas con hasta 20 millones de euros (el mayor de los dos) por infracción. Si su empresa procesa cualquier información de ciudadanos de la UE, debe comenzar a prestar atención.

TLDR; Cuando recopila datos vinculados a un ciudadano de la UE, este tiene derecho a saber qué datos se guardan, con qué finalidad y durante cuánto tiempo. Los usuarios tienen derecho a acceder (“Derecho de acceso”), exportar (“Derecho a la portabilidad de datos”), cambiar y eliminar permanentemente (“Derecho al olvido”) todos sus datos de sus sistemas (lea más aquí). Deben poder acceder a sus datos tan fácilmente como los ingresaron en primer lugar.

Los cambios que toda empresa deberá realizar para cumplir con el RGPD incluyen (pero no se limitan a):

En nuestro caso, creamos una página dedicada a la privacidad de la UE para abordar cada uno de estos problemas, así como para responder las preguntas más comunes que nos han hecho nuestros clientes. Repasemos algunos de los aspectos más importantes que deberá abordar.

Política de privacidad y consentimiento explícito

La GDPR Alliance publicó una buena descripción general que explica exactamente qué requiere la nueva ley con respecto a la información personal:

Esto probablemente resultará en dos cambios bastante importantes para la mayoría de las empresas.

Política de privacidad

En primer lugar, deberá adaptar su Política de privacidad para indicar explícitamente qué datos recopila sobre los usuarios, para qué los usa y quién tiene permiso para acceder a ellos. También debe indicar cómo se protegen los datos y cuál será el proceso si ocurre una infracción. Puede ver nuestra versión de estos cambios en nuestra Política de privacidad aquí.

Quiero enfatizar esto nuevamente: usted necesitará un abogado para esta parte. No hay forma de que puedas simplemente improvisar estos cambios. Las sanciones por equivocarse (o proporcionar información errónea) son enormes.

Consentimiento explícito

Segundo, no más de esto:

En el futuro, tendrá que los clientes acepten explícitamente sus Términos de servicio y Política de privacidad. Para ser más específico y mucho más inestable … Deberá:

En resumen, esta es la nueva normalidad de su aplicación:

Protección de datos y transferencias transfronterizas

Como muchas empresas, tenemos muchas esperanzas en la UE-EE. UU. y Suiza-EE. UU. Marcos de protección de la privacidad. Se suponía que la certificación a través de este marco resolvería todos nuestros problemas de transferencia de datos transfronterizos. Y en teoría, lo hace. Privacy Shield es un mecanismo implementado conjuntamente por la Comisión Europea y los EE. UU. Para permitir a las empresas transferir legalmente los datos personales de los residentes de la UE a los EE. UU. El problema es que Privacy Shield está sujeto a impugnaciones legales, y los críticos afirman que no protege completamente los derechos fundamentales de las personas según la ley de privacidad de la UE.

Entonces te diré esto. Puede que sea la ley, pero he hablado con muy pocas empresas de la UE que equiparan la legalidad del Escudo de la privacidad con lo “suficiente” del Escudo de la privacidad. Para decirlo de otra manera: nadie se fía de esto. Entonces, aunque estamos certificados bajo el Escudo de Privacidad, nos dimos cuenta desde el principio de que íbamos a perder muchos clientes si no implementamos algo más riguroso.

Ingrese anexos de procesamiento de datos (DPA) y cláusulas modelo. El DPA ofrece términos contractuales que cumplen con los requisitos de GDPR y que reflejan los compromisos de privacidad y seguridad de los datos de una empresa con sus clientes. Y dado que el Escudo de la privacidad no es considerado “suficiente” por muchas empresas, las cláusulas modelo de la UE añaden cláusulas contractuales estandarizadas al DPA para garantizar que cualquier dato personal que salga del EEE se transferirá de conformidad con la ley de protección de datos de la UE.

Aquí está la dura verdad sobre las DPA: son caras. En este momento, todas las empresas se esfuerzan por crear DPA y ser la primera en conseguirlas firmadas con todos sus clientes. Si se encuentra en el extremo receptor de esto, tendrá que gastar una gran cantidad de honorarios legales para que se revise cada DPA a medida que se le presente.

Para una empresa pequeña como la nuestra, eso simplemente no es posible. Así que hicimos una decisión difícil en este caso. No firmamos los DPA de otras empresas y no permitimos que las empresas realicen cambios en el DPA que creamos . Entendemos que podríamos perder algunos clientes debido a esto. Pero el costo de un cliente perdido es mucho menor que el costo de pasar cada cambio a nuestro abogado y tener un intercambio al respecto con el cliente (sin mencionar el costo de mantener múltiples versiones de esta cosa). Así es como explicamos esto a nuestros clientes:

Para asegurarnos de que no se nos impongan condiciones inconsistentes o adicionales más allá de lo que se refleja en nuestro DPA estándar y cláusulas modelo, no podemos aceptar firmar los DPA de los clientes. Como equipo pequeño, tampoco podemos realizar cambios individuales en nuestro DPA ya que no tenemos un equipo legal en el personal. Cualquier cambio en el DPA estándar requeriría asesoría legal y mucha discusión de ida y vuelta que sería prohibitivo para nuestro equipo.

En resumen: nuestro DPA establece nuestras prácticas de privacidad y seguridad (que están orientadas a satisfacer los requisitos de GDPR). Por lo tanto, no vamos a realizar ningún cambio, porque prometemos cosas que no hacemos (que, ya sabes, definitivamente no deberías hacer en un contrato legalmente vinculante).

Así que este es mi consejo para las pequeñas empresas: Gaste mucho dinero por adelantado en un buen abogado para obtener una realmente buena DPA en su lugar. Y luego quédate con eso.

Dimos un paso más con esto. En nuestra página de privacidad de la UE, permitimos que los clientes firmen nuestro DPA electrónicamente. Este ha sido otro enorme ahorro de tiempo para nosotros. Pero no solo eso, muestra nuestro compromiso con la privacidad, la seguridad, el éxito del cliente y el RGPD en particular. Puede que sea una página aburrida, pero es mi “característica” de matasellos favorita en mucho tiempo.

Derechos del interesado

Los derechos de los sujetos de datos (DSR) son un tema importante en el RGPD, pero para la mayoría de las aplicaciones SaaS estarán relacionados con dos cosas principales: el derecho al olvido (eliminar) y el derecho a la portabilidad de los datos (exportar). Para las solicitudes de eliminación , todos los datos personales deben eliminarse dentro de los treinta días posteriores a la recepción de la solicitud. Para las solicitudes de exportación , los clientes requieren que toda la información personal que se guarda durante más de cuarenta y ocho horas sea fácilmente accesible cuando la soliciten.

Dado que nuestros clientes suelen tener sus propios clientes, algunos de nuestros clientes nos han pedido un nuevo punto final de API para atender las solicitudes de eliminación y exportación para que puedan cumplir fácilmente las solicitudes de DSR con múltiples proveedores. Evidentemente, se trata de una gran inversión y, por el momento, hemos optado por no hacerlo. La verdad es que simplemente no sabemos cuántas de estas solicitudes recibiremos.

La ley GDPR establece que las solicitudes de DSR deben cumplirse dentro de los 30 días posteriores a la recepción de la solicitud. Por lo tanto, nos comprometemos con nuestros clientes a responder a sus solicitudes de DSR sin demoras indebidas, lo que les permitirá responder a sus clientes que hayan realizado esta solicitud dentro de los 30 días requeridos por GDPR. Eso debería dar a nuestros clientes suficiente tiempo para responder a sus clientes si reciben este tipo de solicitudes.

Independientemente del camino que elija, este es otro aspecto importante a seguir para el RGPD.

Estamos juntos en esto

El otro día tuiteé que parece que todas las empresas intentan prepararse para el RGPD en este momento:

Es cierto que todos estamos tropezando un poco. Pero también es genial ver que tantas empresas se toman esta ley en serio, como deberían. Mi más sincera esperanza es que esta publicación contribuya un poco a la discusión y ayude a algunos de ustedes a descubrir qué deben hacer para prepararse para que esta ley entre en vigencia.

Publicado originalmente en postmarkapp.com.