Geekly articles weekly

¿Por qué la plantilla de política de privacidad no es adecuada para usted?

Sergey Voronkevich, MBA, CIPP / E

Copiar y generar políticas de privacidad


Copiar una política de privacidad de plantilla o usar generadores (compilación automática) es una práctica muy común. De hecho, en algunos casos esto puede ahorrar tiempo cuando se trata de copiar información repetida que es universal para muchos sitios. Pero esto es cierto solo si lo copia de una fuente confiable o utiliza un generador de alta calidad.

Copia


Si todavía copia la política de privacidad de la plantilla, debe verificar nuevamente el cumplimiento de este documento con los artículos 13 y 14 del GDPR (Reglamento general de protección de datos - Reglamento general de la Unión Europea para la protección de datos personales), así como cambiar los párrafos individuales de cada empresa:

  1. Objetivos de procesamiento
  2. Bases de procesamiento legítimas
  3. Tiempo de procesamiento

Es difícil encontrar una política de privacidad que coincida con todos los procesos en su empresa y al mismo tiempo GDPR. La mayoría de las políticas de privacidad, incluso de compañías europeas, no cumplen con GDPR.

La política de privacidad copiada puede incluir el procesamiento de datos personales que la empresa no puede ni puede hacer. Esto crea grandes problemas en la implementación de los derechos de los interesados. Por ejemplo, un usuario de su servicio quiere ejercer su derecho a la portabilidad de datos, pero no puede darse cuenta de ello.

También tenga en cuenta que muchas plantillas de políticas de privacidad están escritas bajo otras leyes. Hay casos frecuentes cuando la palabra "GDPR" se inserta en ellos en lugar de otro acto jurídico normativo.

Como resultado, pasa más tiempo buscando y editando una plantilla cuando será mucho más rápido (o quizás más barato) escribir una política usted mismo o consultar a un especialista.

Generadores


Supongamos que encuentra un generador de políticas de privacidad de calidad. Para que pueda producir una versión lista para usar, aún tiene que describir sus procesos en detalle, formular objetivos y esbozar los fundamentos legales. Por lo general, es imposible agregar toda la información variada sobre el procesamiento de datos personales a los generadores de políticas de privacidad. En algunos, como el generador profesional de Signatu, puede hacer esto, pero para generar algo, tendrá que responder a docenas de preguntas complejas que requieren un conocimiento profundo de GDPR.

Crear una política de privacidad


Si compara el uso de una plataforma con la compra de medicamentos, la política de privacidad es un inserto con instrucciones. Con esta instrucción, los usuarios saben cómo usar este medicamento correctamente y no hacerse daño.

Del mismo modo, las políticas de privacidad deberían funcionar. Este documento está escrito principalmente para usuarios. Recuerde esto cuando conecte a su abogado. La política de privacidad debe estar escrita en un idioma comprensible para el lector.

Al diseñar una política de privacidad, en primer lugar, consulte la ley aplicable a su procesamiento. Allí encontrará los requisitos y comprenderá qué información debe indicar en su documento. En este artículo estamos hablando de GDPR.
Los requisitos básicos para el contenido de la política de privacidad de GDPR están contenidos en el art. 13 y 14 de las Reglas, así como en la explicación de las " Directrices sobre transparencia " del Grupo de Trabajo del Artículo 29, el órgano de supervisión paneuropeo. Al final del documento hay una tabla en la que puede consultar su política de privacidad.

Al redactar una política, el error es dispersar información sobre el procesamiento individual en diferentes secciones, cuando los compiladores describen las categorías de datos procesados ​​por separado de los objetivos y los objetivos por separado de los fundamentos legales para el procesamiento (consentimiento, interés legítimo, contrato, requisito legal, etc.). Esto está prohibido, porque la persona (el interesado) no tiene claro cuál de las categorías de datos se procesa con qué propósito. Esto es lo mismo si fue a un transeúnte en la calle y le pidió un teléfono. Tiene una pregunta razonable: "¿Por qué?" Él decidirá si le dará el teléfono dependiendo de cómo quiera usarlo. Del mismo modo, el usuario acepta el procesamiento de datos personales en función de sus objetivos.

En otras palabras, es mejor estructurar el texto de la política de privacidad para tratamientos individuales.
Por ejemplo, a principios de 2019, GOOGLE recibió una multa de 50 millones del supervisor francés CNIL. Una de las violaciones fue que la información importante sobre los propósitos del procesamiento, los períodos de almacenamiento y las categorías de datos personales que se procesarán se dispersó en diferentes documentos. Como resultado, el interesado necesitaba tomar 5-6 acciones para obtener la información necesaria.

Vale la pena señalar que la política de privacidad en sí es solo la punta del iceberg. Antes de compilar una política de privacidad, debe seguir una serie de pasos:

  1. compilar un registro de procesamiento de datos personales (Artículo 30 de las Reglas).
  2. formulación de objetivos de procesamiento. Por ejemplo, pregunta a los departamentos responsables por qué procesan esta o aquella información. Puede resultar que tomaron algunos datos "para el futuro", que ahora no tienen un objetivo específico;
  3. selección de una base legal para el procesamiento (Artículo 6 de las Reglas). Esta etapa no es solo "adivinación sobre una manzanilla", sino un análisis legal complejo;
  4. determinación del tiempo de procesamiento para cada proceso;
  5. inventario de terceros (subcontratistas, socios, proveedores, proveedores) a quienes les da acceso a datos personales.

Los errores cometidos en estas primeras etapas a menudo son claramente visibles en las políticas de privacidad.

Los riesgos de usar una política de privacidad incorrecta


  1. Sanciones impuestas después de la inspección del supervisor. Y esto es 20 millones de euros o el 4% de la facturación global total de la empresa.
  2. Queja de un interesado que no ha entendido su política de privacidad al supervisor. Lo que sucederá después: vea el párrafo 1.
  3. Mala reputación . La presencia de errores obvios en la política de privacidad puede descartar las cotizaciones de una empresa pública. Los inversores temen no tanto que la compañía haya violado ninguna regla, sino que corra el riesgo de recibir enormes sanciones. Ninguno de los accionistas de su empresa apreciará este riesgo, y las contrapartes ciertamente no estarán contentas con su quiebra.
  4. Si elige incorrectamente la base legal, entonces el interesado puede tener un derecho, cuya implementación realmente bloqueará los procesos en su empresa . Ejemplo: ha elegido el consentimiento como base legal para el procesamiento en una situación en la que solo es posible un contrato. Si el usuario retira su consentimiento, no podrá prestarle un servicio. Al final, te encuentras en una trampa legal: por un lado, debes darte cuenta del derecho del sujeto a ser olvidado y, por el otro, hacerle un favor. No le dé el derecho a ser olvidado: será multado y no le brinde un servicio; será sancionado en virtud de un contrato que firmó con esta entidad.

Por lo tanto, la política de privacidad:

  1. Se desarrolla individualmente para los procesos de una organización particular,
  2. Está escrito en un lenguaje comprensible y tiene una estructura clara,
  3. solo uno de los muchos y lejos del primer evento en cumplir con el Reglamento,
  4. necesario para la supervivencia de la empresa en la era de GDPR y
  5. No perdona los errores.

Source: https://habr.com/ru/post/438450/

More articles:


All Articles