Focus 4: prelucrarea datelor și responsabilitățile personale

Ce se întâmplă dacă cumpărăm un produs de pe un site de comerț electronic și a doua zi ne dăm seama că cardul nostru de credit a rămas fără credit? Cum sunt gestionate preferințele noastre și, prin urmare, datele noastre atunci când suntem de acord să navigăm pe un site web sau blog? Și din nou: cui îi încredințăm cu adevărat informațiile personale odată ce a fost completat un formular de contact? Vom încerca să răspundem la acestea și la alte întrebări în acest al patrulea e ultima perspectivă dedicat securității informațiilor în era digitală. Da, pentru că prelucrarea datelor merge mână în mână cu responsabilitățile personale ale administratorilor site-ului, adică a persoanelor care dețin un site sau un proiect digital. Situația a fost mereu fragmentată, cel puțin până acum câțiva ani. Schimbarea epocală a venit în 2018, odată cu apariția lui Regulamentul general privind protecția datelor, de asemenea cunoscut ca si GDPR. Să începem chiar de la acest punct și să vedem cum să configurați o politică de gestionare a datelor într-o manieră profesionistă.

GDPR-ul european și domeniul real de aplicare

Imposibil să nu fi auzit niciodată de Regulamentul general privind protecția datelor, oficial regulamentul (UE) nr. 2016/679. În vigoare de doi ani, GDPR a marcat începutul unei noi ere, ridicând nivelul de protecție a utilizatorilor în ceea ce privește prelucrarea datelor cu caracter personal de către site-uri web, bloguri, comerț electronic și spații virtuale în general (forumuri, pagini de destinație, platforme de streaming video, motoare de căutare etc.). A vorbi în câteva rânduri despre acest instrument legislativ nemărginit și parțial ambiguu este o misiune imposibilă, rămâne faptul că este de datoria noastră să oferim câteva orientări utile pentru a face lumină asupra unei probleme atât de vaste și complexe. Mai întâi să ne uităm la punctele importante ale GDPR, totuși, să încercăm să înțelegem care este domeniul său real de aplicare.

Ce țări sunt afectate de GDPR?

Fiecare țară în care operează o organizație care se adresează cetățenilor UE prin web și prelucrează anumite date cu caracter personal este o țară în care GDPR are dreptul să se aplice. Aceasta este concluzia la care sa ajuns prin adunarea zonelor specificate de GDRP. Din aceasta se poate deduce că practic toate companiile și profesioniștii care au relații cu Uniunea Europeană, din Elveția până în Statele Unite ale Americii și multe altele, trebuie să respecte regulamentul. Pentru mai multe informații despre aceasta vă recomandăm să citiți acest ghid complet al GDPR.

Presupunând că GDPR are valoare legală în Elveția, precum și în restul Europei, să vedem punct cu punctul i principalele aspecte de avut în vedere să interpreteze corect regulamentul și să îl aplice în mod corespunzător.

• fiecare utilizator care vă vizitează site-ul trebuie să-și confirme consimțământul pentru prelucrarea datelor. Consimțământul trebuie să fie liber, specific, informat și revocabil în orice moment
• în lipsa consimțământului se presupune că datele NU vor fi colectate sau că vizitarea site-ului va fi împiedicată
• consimtamintele trebuie arhivate si memorate, astfel incat sa poata fi gasite intotdeauna de orice agenti si autoritati ale statului
• registrul de consimțământ trebuie să conțină o serie de informații esențiale, precum momentul în care a fost dat consimțământul
• consimțământul nu este singurul temei legal posibil, ci unul dintre cele 6 prevăzute de GDPR. Cu toate acestea, în multe situații și pentru multe afaceri, consensul rămâne calea cea mai ușoară de urmat

DIRECTIVA ePRIVACY (LEGEA COOKIE-urilor)

GDPR nu este singura referință de respectat. Directiva 2009/136/CE (cunoscută și sub denumirea de Directiva privind confidențialitatea electronică) este al doilea instrument fundamental pentru gestionarea corectă a datelor cu caracter personal. legislatie specifica regulile de utilizare a cookie-urilor de la terți în cadrul propriului spațiu virtual, sau mai degrabă cerințele care permit activarea cookie-urilor la prima vizită a unui nou utilizator. Din nou, principiul se bazează pe protecție maximă, oferind utilizatorului opțiunea deplină de a refuza accesul cookie-urilor la datele sale cu un simplu clic. După cum vom vedea în ultimul paragraf, administratorul și, prin urmare, managerul site-ului web trebuie să ofere utilizatorului un sistem, de obicei un banner, pentru accepta sau refuza accesul la cookie-uri.

Unele cookie-uri sunt exceptate de la acest tip de consimțământ, dar este foarte probabil ca un site de prezentare de afaceri să găzduiască cel puțin un token digital sau cookie. Politica de confidențialitate trebuie raportată într-un document anume, iar acest lucru este valabil și pentru politica de cookie-uri. În acest moment este în discuție directiva ePrivacy, sau legea cookie-urilor, deoarece intențiile legiuitorilor vizează trecerea la ceea ce va fi Regulamentul ePrivacy, care funcționează în concordanță cu GDPR. Totuși, după toate probabilitățile, nu vor exista modificări semnificative în prevederi, motiv pentru care este bine chiar acum să ne adaptăm și să ajungem pregătiți pentru aprobarea regulamentului, destinat să fie oficializat în câțiva ani.

ACTUL CALIFORNIA PRIVIND PRIVITATEA CONSUMATORILOR (CCPA)

Legea privind confidențialitatea consumatorilor din California a intrat în vigoare la 1 iulie 2020, una dintre cele mai structurate forme de protecție aprobate în prezent în Statele Unite, precum și linii directoare de bază pentru fiecare stat din SUA în afara Californiei. La fel ca și în cazul Europei cu GDPR, CCPA are și repercusiuni enorme pentru SUA, cum ar fi depășirea granițelor propriei țări. Deși nu este la fel de restrictiv, CCPA poate avea, de asemenea, un impact real asupra afacerii dvs. cu sediul în Elveția sau în orice altă țară. Condițiile pe care trebuie să le îndepliniți, pe lângă faptul că vă adresați cetățenilor din California, includ:

• au vânzări brute anuale care depășesc 25 milioane USD; sau
• având cel puțin 50% din cifra de afaceri provine din vânzarea datelor cu caracter personal

sau

• cumpărați, primiți, vindeți sau distribuiți informațiile personale ale a 50.000 sau mai mulți consumatori în fiecare an în scopuri comerciale.

Dificil? Nu chiar. Deoarece adresele IP sunt date personale, este posibil ca orice site web care într-un an primiți din California peste 50.000 vizitatorii unici intră în domeniul de aplicare al CCPA. Acesta este doar un exemplu al modului în care globalizarea, de asemenea și mai ales tehnologia informației, a creat acum conexiuni și interdependențe între legislațiile naționale.

CUM SE CONFORME CU DIRECTIVILE DE DATE

În lumina celor scrise până acum, adaptarea la directivele naționale, europene și internaționale nu este cu siguranță o sarcină accesibilă fără utilizarea instrumentelor adecvate. Nu întâmplător au fost dezvoltate în ultimii ani platforme întregi concepute pentru a gestiona obligațiile a GDPR (și nu numai) cu o abordare rapidă, practică și parțial automată. Administratorul site-ului, adică proprietarul organizației, webmaster-ul sau agenția care urmărește proiectul, trebuie doar să se înregistreze pe aceste platforme și să completeze datele solicitate de sistem (proprietar de date, url site etc.). În acest moment, software-ul și pluginul aferent le vor afișa utilizatorilor bannerul care rezumă termenii și condițiile urmărirea datelor și activarea cookie-urilor.

Aceleași platforme, cel puțin cele mai cunoscute, sunt capabile să genereze documente de politică de confidențialitate, politici de cookie-uri și orice termeni și condiții, cu un text preformatat pe care trebuie doar să îl completați și să îl personalizați după cum este necesar. Dintre denumirile celor mai de succes platforme amintim, fără nicio ordine anume, italianul Iubenda, americanul Quantcast sau danezul Cookiebot, fiecare specializat într-un regulament sau set de regulamente. Soluțiile oferite sunt gratuite dar în acest caz au o funcționalitate limitată. Noi cei de la Innovando recomandăm așadar alegerea planului care corespunde cel mai bine dimensiunii și metodelor eficiente de colectare a datelor ale organizației, evitând astfel orice ipoteză de infracțiune. Nu te încurci cu datele utilizatorilor, mai ales că sancțiunile, în caz de nerespectare, pot fi foarte, foarte sărate.

Sperăm că v-am oferit toate informațiile de care aveți nevoie. Dacă nu, vă rugăm să ne contactați fără obligație pentru a sfaturi gratuite si personalizate privind protecția datelor.