Taula de continguts:
Vídeo: GDPR explained: How the new data protection act could change your life (Setembre 2024)
En aquest moment, segur que ja heu sentit a parlar del GDPR, que és el Reglament general de protecció de dades de la Unió Europea (UE). El GDPR es va adoptar per protegir la informació personal dels usuaris europeus de la divulgació i el mal ús no autoritzats. Com a tal, el GDPR estableix límits molt estrictes sobre on es poden emmagatzemar les dades dels ciutadans de la UE, com es poden utilitzar, quant temps es poden conservar i com es protegeix.
El que això significa és que us oblideu oblidar-vos dels negocis europeus durant un temps, a no ser que sigueu segurs que podeu complir les normes. La UE té un lloc web excel·lent que explica el procés. Si teniu previst fer negocis a Europa, els vostres usuaris de TI han de llegir aquest lloc web.
Però si sou una gran empresa que ja fa negocis a la UE, el més probable és que ja coneixeu bé els requisits i probablement aneu en la manera de demostrar el compliment de les normes.
Però suposeu que no sou una d’aquestes organitzacions? Bé, el més probable és que el GDPR encara us afecti. Haureu d’asseure’s i mirar la vostra situació per assegurar-vos. A continuació, fem una ullada ràpida a les coses principals que cal tenir en compte.
Operacions i protecció de dades
Primer, mireu les vostres operacions. Esteu dirigits a qualsevol tipus d’esforç de màrqueting, per petit que sigui, als ciutadans de la UE? Podria ser qualsevol cosa tan senzilla com tenir una versió del vostre lloc web en un idioma europeu o la possibilitat d’acceptar pagaments en monedes europees. O recopila dades personals de qualsevol tipus per a qualsevol propòsit, encara que no sigui per a una transacció financera?
Això no vol dir que us orienteu als europeus si troben el vostre lloc web amb seu als Estats Units i compren alguna cosa venuda en dòlars americans. Però fins i tot llavors, heu d’anar amb compte amb el que feu amb les dades i el temps que les conserveu. Però si espereu vendre regularment a compradors europeus, potser seria una bona idea trobar una empresa europea per donar servei als vostres comptes.
Mentrestant, si creieu que hi ha alguna possibilitat que acabi tractant amb ciutadans de la UE, convindria assegurar-vos que seguiu les normes en matèria de protecció i divulgació de dades.
Les normes de protecció de dades volen protegir les dades dels ciutadans de la UE contra la pèrdua, el robatori o la divulgació. També heu de desfer-vos de les dades el més aviat possible. I si es trenquen alguna dada de ciutadans de la UE, tindreu 72 hores després de descobrir-la per informar-la a les autoritats europees.
També heu de divulgar com voleu utilitzar les dades i quant de temps voleu conservar-les. Les publicacions han de ser clares i senzilles, i cal que el ciutadà de la UE pugui estar d'acord o no d'acord. Hi ha algunes coses que cal tenir en compte sobre la revelació: no podeu tenir les caselles marcades prèviament per defecte i no podeu utilitzar aquests documents "Termes i condicions" densos, interminables, legals com a informació.
Un ciutadà de la UE pot triar que no estigui d’acord amb la seva divulgació i hi ha d’haver una manera de dir "no". Tanmateix, si la informació que sol·liciteu és necessària per proporcionar el bé o servei (per exemple, un número de targeta de crèdit o una adreça d’enviament), no haureu de vendre el producte.
Tingueu en compte que les regles s'apliquen a les dues parts al final de la transacció, és a dir, a vosaltres i a l'empresa de targetes de crèdit. Si teniu previst vendre coses als europeus, haureu de confirmar que el processador de la vostra targeta de crèdit seguirà les normes de GDPR per als clients de la UE.
Dret a ser oblidat
I, per descomptat, hi ha el famós "dret a ser oblidat". Heu de poder suprimir el nom i la informació personal de qualsevol ciutadà de la UE a petició. Això vol dir des de qualsevol lloc, incloses les còpies de seguretat, on pugui residir aquesta informació. Això requerirà que tingueu en compte el lloc on es troben les dades i el que hi ha, cosa que probablement no podeu fer ara.
Hi ha límits del dret a l’oblit. Per exemple, si teniu que conservar algunes dades, com ara complir alguns requisits de la Llei de portabilitat i rendició de comptes de l’assegurança mèdica (HIPAA) o dels requisits de la Comissió de Valors i Valors (SEC), heu de complir els requisits legals. Però més enllà d’això, heu de poder suprimir aquestes dades personals a petició.
Si tot això sembla un dolor al coll, potser tindreu raó. O podeu mirar els requisits de la UE per al GDPR com una oportunitat per racionalitzar les vostres operacions de seguretat íntegrament. Per exemple, si emmagatzeneu i gestioneu totes les vostres dades de manera que compleixi els requisits del GDPR, tindreu una operació molt més segura.
De la mateixa manera, si anul·leu els documents "Termes i condicions" de llarga durada, impossibles de llegir, i els reemplaçeu per declaracions d'intencions clares i sol·liciteu acord, els vostres clients ho apreciaran. A més, si deixeu d’emmagatzemar dades que realment no necessiteu però que teniu obligació de protegir, la vostra vida es simplifica i es redueix el risc d’una infracció ja que els hackers no poden robar allò que no hi ha.
De manera realista, GDPR codifica quines són realment les millors pràctiques per manejar la vostra organització les dades d’altres persones. Trobar una manera de complir aquestes normes ajudarà a la vostra organització en general.
