¬ŅPor qu√© la plantilla de pol√≠tica de privacidad no es adecuada para usted?

Sergey Voronkevich, MBA, CIPP / E

Copiar y generar políticas de privacidad


Copiar una pol√≠tica de privacidad de plantilla o usar generadores (compilaci√≥n autom√°tica) es una pr√°ctica muy com√ļn. De hecho, en algunos casos esto puede ahorrar tiempo cuando se trata de copiar informaci√≥n repetida que es universal para muchos sitios. Pero esto es cierto solo si lo copia de una fuente confiable o utiliza un generador de alta calidad.

Copia


Si todavía copia la política de privacidad de la plantilla, debe verificar nuevamente el cumplimiento de este documento con los artículos 13 y 14 del GDPR (Reglamento general de protección de datos - Reglamento general de la Unión Europea para la protección de datos personales), así como cambiar los párrafos individuales de cada empresa:

  1. Objetivos de procesamiento
  2. Bases de procesamiento legítimas
  3. Tiempo de procesamiento

Es dif√≠cil encontrar una pol√≠tica de privacidad que coincida con todos los procesos en su empresa y al mismo tiempo GDPR. La mayor√≠a de las pol√≠ticas de privacidad, incluso de compa√Ī√≠as europeas, no cumplen con GDPR.

La política de privacidad copiada puede incluir el procesamiento de datos personales que la empresa no puede ni puede hacer. Esto crea grandes problemas en la implementación de los derechos de los interesados. Por ejemplo, un usuario de su servicio quiere ejercer su derecho a la portabilidad de datos, pero no puede darse cuenta de ello.

También tenga en cuenta que muchas plantillas de políticas de privacidad están escritas bajo otras leyes. Hay casos frecuentes cuando la palabra "GDPR" se inserta en ellos en lugar de otro acto jurídico normativo.

Como resultado, pasa más tiempo buscando y editando una plantilla cuando será mucho más rápido (o quizás más barato) escribir una política usted mismo o consultar a un especialista.

Generadores


Supongamos que encuentra un generador de pol√≠ticas de privacidad de calidad. Para que pueda producir una versi√≥n lista para usar, a√ļn tiene que describir sus procesos en detalle, formular objetivos y esbozar los fundamentos legales. Por lo general, es imposible agregar toda la informaci√≥n variada sobre el procesamiento de datos personales a los generadores de pol√≠ticas de privacidad. En algunos, como el generador profesional de Signatu, puede hacer esto, pero para generar algo, tendr√° que responder a docenas de preguntas complejas que requieren un conocimiento profundo de GDPR.

Crear una política de privacidad


Si compara el uso de una plataforma con la compra de medicamentos, la pol√≠tica de privacidad es un inserto con instrucciones. Con esta instrucci√≥n, los usuarios saben c√≥mo usar este medicamento correctamente y no hacerse da√Īo.

Del mismo modo, las políticas de privacidad deberían funcionar. Este documento está escrito principalmente para usuarios. Recuerde esto cuando conecte a su abogado. La política de privacidad debe estar escrita en un idioma comprensible para el lector.

Al dise√Īar una pol√≠tica de privacidad, en primer lugar, consulte la ley aplicable a su procesamiento. All√≠ encontrar√° los requisitos y comprender√° qu√© informaci√≥n debe indicar en su documento. En este art√≠culo estamos hablando de GDPR.
Los requisitos básicos para el contenido de la política de privacidad de GDPR están contenidos en el art. 13 y 14 de las Reglas, así como en la explicación de las " Directrices sobre transparencia " del Grupo de Trabajo del Artículo 29, el órgano de supervisión paneuropeo. Al final del documento hay una tabla en la que puede consultar su política de privacidad.

Al redactar una pol√≠tica, el error es dispersar informaci√≥n sobre el procesamiento individual en diferentes secciones, cuando los compiladores describen las categor√≠as de datos procesados ‚Äč‚Äčpor separado de los objetivos y los objetivos por separado de los fundamentos legales para el procesamiento (consentimiento, inter√©s leg√≠timo, contrato, requisito legal, etc.). Esto est√° prohibido, porque la persona (el interesado) no tiene claro cu√°l de las categor√≠as de datos se procesa con qu√© prop√≥sito. Esto es lo mismo si fue a un transe√ļnte en la calle y le pidi√≥ un tel√©fono. Tiene una pregunta razonable: "¬ŅPor qu√©?" √Čl decidir√° si le dar√° el tel√©fono dependiendo de c√≥mo quiera usarlo. Del mismo modo, el usuario acepta el procesamiento de datos personales en funci√≥n de sus objetivos.

En otras palabras, es mejor estructurar el texto de la política de privacidad para tratamientos individuales.
Por ejemplo, a principios de 2019, GOOGLE recibió una multa de 50 millones del supervisor francés CNIL. Una de las violaciones fue que la información importante sobre los propósitos del procesamiento, los períodos de almacenamiento y las categorías de datos personales que se procesarán se dispersó en diferentes documentos. Como resultado, el interesado necesitaba tomar 5-6 acciones para obtener la información necesaria.

Vale la pena se√Īalar que la pol√≠tica de privacidad en s√≠ es solo la punta del iceberg. Antes de compilar una pol√≠tica de privacidad, debe seguir una serie de pasos:

  1. compilar un registro de procesamiento de datos personales (Artículo 30 de las Reglas).
  2. formulación de objetivos de procesamiento. Por ejemplo, pregunta a los departamentos responsables por qué procesan esta o aquella información. Puede resultar que tomaron algunos datos "para el futuro", que ahora no tienen un objetivo específico;
  3. selección de una base legal para el procesamiento (Artículo 6 de las Reglas). Esta etapa no es solo "adivinación sobre una manzanilla", sino un análisis legal complejo;
  4. determinación del tiempo de procesamiento para cada proceso;
  5. inventario de terceros (subcontratistas, socios, proveedores, proveedores) a quienes les da acceso a datos personales.

Los errores cometidos en estas primeras etapas a menudo son claramente visibles en las políticas de privacidad.

Los riesgos de usar una política de privacidad incorrecta


  1. Sanciones impuestas después de la inspección del supervisor. Y esto es 20 millones de euros o el 4% de la facturación global total de la empresa.
  2. Queja de un interesado que no ha entendido su política de privacidad al supervisor. Lo que sucederá después: vea el párrafo 1.
  3. Mala reputaci√≥n . La presencia de errores obvios en la pol√≠tica de privacidad puede descartar las cotizaciones de una empresa p√ļblica. Los inversores temen no tanto que la compa√Ī√≠a haya violado ninguna regla, sino que corra el riesgo de recibir enormes sanciones. Ninguno de los accionistas de su empresa apreciar√° este riesgo, y las contrapartes ciertamente no estar√°n contentas con su quiebra.
  4. Si elige incorrectamente la base legal, entonces el interesado puede tener un derecho, cuya implementación realmente bloqueará los procesos en su empresa . Ejemplo: ha elegido el consentimiento como base legal para el procesamiento en una situación en la que solo es posible un contrato. Si el usuario retira su consentimiento, no podrá prestarle un servicio. Al final, te encuentras en una trampa legal: por un lado, debes darte cuenta del derecho del sujeto a ser olvidado y, por el otro, hacerle un favor. No le dé el derecho a ser olvidado: será multado y no le brinde un servicio; será sancionado en virtud de un contrato que firmó con esta entidad.

Por lo tanto, la política de privacidad:

  1. Se desarrolla individualmente para los procesos de una organización particular,
  2. Est√° escrito en un lenguaje comprensible y tiene una estructura clara,
  3. solo uno de los muchos y lejos del primer evento en cumplir con el Reglamento,
  4. necesario para la supervivencia de la empresa en la era de GDPR y
  5. No perdona los errores.

Source: https://habr.com/ru/post/438450/


All Articles