Aviso para desarrolladores web: el RGPD de la UE pone fin a la era del feudalismo digital

Todo el mundo digital está a las puertas de grandes cambios.

El 25 de mayo de 2018 las actualizaciones de las normas de protección de datos de la UE entrarán en vigor, lo que significa que todos aquellos que trabajan con clientes y les piden que compartan algún tipo de información personal a cambio de productos, servicios o acciones deberían prepararse para nuevos términos y regulaciones de privacidad digital.

La comunidad web de hoy en día se ha vuelto extremadamente vulnerable. A veces parece que Google y Facebook saben más sobre nosotros, nuestras preferencias y nuestro comportamiento que nuestra familia y amigos. Cada vez que instalamos una nueva aplicación en nuestros dispositivos inteligentes, se nos solicita permiso para acceder a nuestra ubicación/galería/contactos, etc.

Cada vez que nos registramos en redes sociales o creamos cuentas en diferentes sitios web, se nos solicita que ingresemos nuestros datos personales. ¿Y qué ocurre con estos datos después de que hacemos clic en el botón de registro y aceptamos los términos y condiciones de privacidad? Es que, ¿con qué frecuencia lees esos términos interminables?

Nunca se sabe en qué momento se pueden robar o vender sus datos personales. Para poner fin al feudalismo digital y mantener protegidos los datos privados de los usuarios, la UE publica normas más estrictas de protección de datos.

Lo que vamos a discutir en esta entrada es el Reglamento General de Protección de Datos que tendrá vigencia a partir del 25 de mayo de 2018.

El RGPD es un conjunto de leyes que se promulga por la Unión Europea, pero afecta incluso a aquellos que están fuera de la UE. Es un conjunto de regulaciones del procesamiento de datos digitales y de la forma en que esos datos se administran en el mundo en línea. Si eres desarrollador web, diseñador o simplemente creas plantillas web, sigue leyendo este post. La siguiente información será útil para ti.


¿Qué es el RGPD?

El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

Artículo 1  Objeto

Todas las normas de privacidad y protección de datos de la UE se puede dividir en dos partes principales:

  1. El RGPD es una sustitución modernizada de la Directiva de Protección de Datos de 1995. Todos los principios de la última están presentes en el Reglamento General de Protección de Datos. Además, se añaden nuevos requisitos que reflejan los cambios de la era digital de nuestros días.
  2. La segunda parte es la renovada Directiva de privacidad electrónica de 2002, más conocida como la ley de cookies. Originalmente, se planeó que esta directiva entrara en vigor el 25 de mayo, junto con el RGPD. Sin embargo, todavía está en la etapa del borrador. Se espera que el documento esté finalizado a fines de otoño - inicios de invierno de 2018.

Las demoras en el lanzamiento de la Directiva de ePrivacidad pueden ser una buena noticia para los desarrolladores web, como de esta manera ellos obtienen suficiente tiempo para prepararse para los próximos cambios.


Ámbito territorial

Aunque estamos hablando de las regulaciones de la UE, no necesariamente deberías estar ubicado en la Unión Europea para prepararte para la aplicación de los cambios respectivos a la forma en que tratas la privacidad digital de tus clientes.

  1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
  2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
    • la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
    • el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
  3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Artículo 3 - Ámbito territorial

Esto significa que si haces negocios en Europa o simplemente recopilas los datos de los usuarios europeos, entonces, debes proteger sus datos personales de acuerdo con las regulaciones renovadas. Las regulaciones se aplican a todas las empresas, independientemente de su tamaño, ubicación y volumen de negocio. Si alguna empresa no está lista para aceptar los cambios, no debería trabajar con los clientes de la UE.


Datos personales vs Información personalmente identificable

gdpr rules

El término europeo "datos personales" es diferente de su equivalente estadounidense "información personalmente identificable". Vamos a explicarte por qué.

Según las reglamentaciones europeas, a los datos personales pertenece cualquier información relacionada con una persona física (persona natural) identificada o identificable. Esto puede ser literalmente todo: una pieza de datos o una cantidad de datos que se combinan para crear un registro de una persona. En la UE, los datos personales también incluyen una "subcategoría" de datos personales confidenciales, lo que se refiere a:

  • Origen racial o étnico
  • Opiniones políticas
  • Creencias religiosas o filosóficas
  • Membresía sindical
  • Datos de salud
  • Vida sexual u orientación sexual, etc.

Los datos personales confidenciales deben protegerse mejor que los datos personales regulares. La divulgación de los datos personales confidenciales suele tener consecuencias más graves.

En el RGPD se utiliza un significado ampliado del término "datos personales", que incluye:

  • Datos genéticos
  • Datos biométricos (como reconocimiento facial o inicios de sesión con huella digital)
  • Datos de localización
  • Datos seudonimizados
  • Identificadores en línea.

A la categoría de los identificadores en línea pertenecen los términos como direcciones IP, cookies, IDs de cuentas de usuarios, IDs de dispositivos móviles y otras formas generadas por sistema que son especialmente importantes para los diseñadores y desarrolladores web.

El término estadounidense "información personalmente identificable" se refiere al conjunto de características más limitadas en comparación con el RGPD de la UE.

A diferencia de lo último, la información de identificación personal no implica que la información personal sea contextual, lo que aumenta los riesgos de la pérdida de datos.


Responsable del tratamiento vs Encargado del tratamiento

En cuanto a la posesión de datos personales, el RGPD de la UE define dos partes principales: responsables del tratamiento y encargados del tratamiento.

  • Un responsable es una persona o una organización que decide qué datos se recopilan y cómo se usan.
  • Como un encargado del tratamiento, una persona o una entidad procesa los datos en nombre del responsable.

Como diseñador o desarrollador web, puedes tener ambos roles.

Como encargado del tratamiento, no puedes involucrar a otro encargado sin la autorización previa por escrito del responsable. Las relaciones entre el responsable y el encargado están reguladas por el acuerdo escrito, según el cual el encargado debería:

  • tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
  • garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
  • asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados;
  • a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
  • pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Artículo 28 - Encargado del tratamiento


¿Cómo desarrollar de acuerdo con el RGPD?

Con todo lo dicho, surge la pregunta lógica de cómo los diseñadores y desarrolladores web deberían tratar con sus clientes a partir del 25 de mayo.

El RGPD de la UE afectará la forma en que trabajas en línea. Esto incluye tanto la planificación empresarial como la ejecución de los principales procesos comerciales. Para ser más específico, afecta UX, marketing, términos de gestión de proyectos y desarrollo web en sí.

Cuando comienzas a trabajar de acuerdo con las regulaciones nuevas, el primer documento fundamental que deberías preparar es la Evaluación de Impacto en la Protección de Datos, es decir, un documento escrito que debería ser accesible para todos los involucrados en el proyecto. Este es un documento en el que se especifica el debate, la auditoría y los riesgos de privacidad que son inherentes a los datos que se posee.

Cuando se trata del trabajo de acuerdo con el RGPD, deberías tener una documentación escrita en la que un cliente y un diseñador web puedan encontrar las reglamentaciones, los términos y los requisitos con respecto a cómo deben comportarse cada una de las partes en caso de problemas de privacidad.

La Evaluación de Impacto en la Protección de Datos debería aclarar todo:

  • ¿Cómo y qué tipo de datos personales se procesan y almacenan?
  • ¿Dónde y cómo se almacenan los datos?
  • ¿Por cuánto tiempo se almacenan los datos personales?
  • ¿Son la recolección de datos y su procesamiento específicos, explícitos y legítimos?
  • ¿Cuál es la base del consentimiento para el procesamiento de datos?
  • Si no se basa en el consentimiento, ¿cuál es la base legal para el procesamiento de datos?
  • ¿Se limitan los datos a los que se requieren explícitamente?
  • ¿Son los datos precisos y se mantienen actualizados?
  • ¿Cómo se informa a los usuarios sobre el procesamiento de datos?
  • ¿Qué control tienen los usuarios sobre la recopilación y retención de datos?
  • ¿Son los datos:
    • encriptados?
    • anonimizados o seudonimizados?
    • copiados?
  • ¿Cuáles son las medidas técnicas y medidas de seguridad en cuanto a la ubicación del host?
  • ¿Quién tiene acceso a los datos?
  • ¿Qué entrenamiento de protección de datos tienen esas personas?
  • ¿Con qué medidas de seguridad trabajan esas personas?
  • ¿Qué notificación de violación de datos y procedimientos de alerta están disponibles?
  • ¿Qué procedimientos existen en caso de las solicitudes del gobierno?
  • ¿Cómo realiza el sujeto de datos su:
    • derecho de acceso?
    • derecho a la portabilidad de datos?
    • derecho a la eliminación y derecho a ser olvidado?
    • derecho a restringir y objetar?
  • ¿Están las obligaciones de todos los procesadores de datos, incluyendo los subcontratistas, cubiertas por un contrato?
    Si los datos se transfieren fuera de la Unión Europea, ¿cuáles son las medidas de protección?
    ¿Cuáles son los riesgos para los interesados si los datos son:

    • mal utilizados, mal accedidos o incumplidos?
    • modificados?
    • perdidos?
  • ¿Cuáles son las principales fuentes del riesgo?
    ¿Qué acciones se realizan para mitigar esos riesgos?

No se trata sólo del código y del diseño. Se trata de que todos aquellos que están involucrados en algún proyecto específico entiendan los antecedentes legales de su profesión y sepan las leyes de privacidad regionales/locales/nacionales.

Sería ideal si las empresas eduquen a sus equipos. Y debería haber una prueba documentada de que un diseñador web o un desarrollador web tiene el entrenamiento correspondiente.


¿Cómo diseñar?

web design GIF

Los requerimientos de diseño son una parte integral de los proyectos orientados al RGPD.

Hay dos principios que deberías tener en cuenta en esta etapa, y ellos son la anonimización y la minimización, tanto en el back-end como en el front-end. No vincules datos personales a otros conjuntos almacenados en una sola ubicación.

De acuerdo con el RGPD, debes especificar los programas de retención y eliminación de datos. Aún así, no se te obliga a eliminar todo una vez que termines de trabajar en algún proyecto. Se te permite almacenar los datos para la auditoría de impuestos e ingresos. Cuando dichos datos ya no sean necesarios, asegúrate de que se eliminen de tus archivos y de los servicios de terceros, como el almacenamiento en la nube.

Además, oculta los datos personales de los ataques inesperados del usuario. Los datos personales no deben ser accesibles de manera fácil ni por el back-end, ni por el front-end. Deben ser siempre encriptados.


¿Cómo codificar?

web development GIF

Para codificar de acuerdo con los requisitos del RGPD, asegúrate de que todos los involucrados en tu proyecto utilicen un conjunto específico de bibliotecas de códigos, herramientas y marcos, todos los cuales están presentes en la lista de estándares y metodologías aprobados para la codificación y las pruebas. Las herramientas y técnicas que puedes usar mientras creas el código no están especificadas en el RGPD.

Lo importante es que debes especificar y acordar las herramientas que usas en tu trabajo en un documento escrito. La lista se puede modificar más adelante. Simplemente asegúrate de que todos los participiantes del proyecto estén informados y los cambios respectivos estén documentados.

No hace falta decir que las herramientas de codificación que eliges deben ser seguras y proporcionadas por las bibliotecas de terceros confiables.


¿Cómo hacer pruebas de privacidad?

test GIF

Trabajar de acuerdo con el RGPD significa añadir privacidad al diseño, y pruebas - a los proyectos digitales. Las pruebas de privacidad deben prevenir los ataques de piratería informática, el acceso no autorizado a los datos y la vulnerabilidad general de la seguridad.

Cuando se trata de las pruebas de privacidad, debes ser realmente creativo. ¿Son las contraseñas de usuarios suficientemente seguras? ¿Se almacenan los datos de inicio de sesión en las cookies? ¿Es posible acceder a los datos al activar intencionalmente una acción de error? ¿Tienes en cuenta alertas externas mientras haces pruebas de privacidad? Lo más importante, ¿documentas todo? Todos tus esfuerzos de prueba serán inútiles a menos que hayas un documento real que confirme tus acciones.


Conclusión

Al trabajar de acuerdo con el RGPD, deberías ser más específico con respecto a los términos y condiciones de acceso y uso de datos personales. Deberías preocuparte más de los posibles problemas que puedas enfrentar, así como también documentar claramente cada paso que das.

Sé más transparente para tus clientes. Explica los términos de privacidad de manera clara. De hecho, la regla "menos es más" se aplica perfectamente a la página de términos y condiciones de tu proyecto. No hagas que los usuarios gasten horas en leer tu mensaje. Resalta lo esencial y haz que sea fácil de percibir.

 

Fuente: "For Web Developers’ Notice: EU GDPR Brings End of the Era of Digital Feudalism" por Katherine Crayon