Impacto de Cambios de la Legislación de Privacidad en el E-commerce

This article originally appeared on the Lerman&Szlak website.

Basado en la presentación en el evento de AMDIA – CACE sobre Privacidad en la Universidad de San Andres, el 8 de noviembre de 2018

  • E- Commerce

Es mi turno ahora hablar de las repercusiones de estos cambios de la legislación de privacidad en el e-commerce. Para poder analizar en el tema, quiero que pensemos cómo le afectan los cambios a una empresa típica de ECOMMERCE.

Pensemos en un marketplace que vende diferentes productos (sean propios o de terceros), que hace marketing en múltiples medios digitales, que realiza tracking y lleva un registro de las actividades y preferencias del consumidor en su plataforma, y guarda datos no sólo como nombre, apellido, domicilio, DNI, teléfono, sino también datos financieros, datos de geolocalización (GPS, dirección IP), preferencias de consumo (que muchas veces pueden revelar datos sensibles tales como datos médicos y relativos a la salud, afiliaciones políticas, preferencias sexuales).

Mi idea es poder contarles cómo afecta el cambio de legislación al e-commerce en Europa y aquí, y  qué pautas tienen que adoptar las empresas para cumplir con la normativa y poder seguir creciendo e implementando sus planes de negocio partiendo de esta base de protección.

  • Primera pauta: Principio de la Responsabilidad PROACTIVA

Así llama la nueva legislación y la GDPR a la responsabilidad de las empresas por el tratamiento de datos.

Este concepto es fundamental porque sienta las bases de que no solamente hay que cumplir con la legislación, sino que también hay que estar en condiciones de acreditar frente a la entidad regulatoria que uno está en cumplimiento de la ley.

Entonces realmente el cumplimiento no se vuelve tan tedioso, ni tan misterioso, ni tan inabarcable, sobre todo: si uno cumple con adoptar las pautas básicas que pide la legislación, y está en condiciones de acreditar que lo hizo, entonces no debería tener problemas frente a los nuevos cambios.

Qué pautas hay que adoptar?

  • Poner a punto sus Políticas de Privacidad y sus Términos y Condiciones. Esto normalmente ya se encuentra en los sitios y plataformas de e-commerce, en la mayoría de los casos, pero es algo para afinar el lápiz con pautas que veremos aquí.
  • Tomar Medidas de Seguridad Adecuadas respecto de los datos y armar Documentos de Seguridad Internos Las empresas más serias esto ya lo hacen, muchas veces es principalmente cuestión de plasmarlo en un documento formal interno, definir mínimos de seguridad, y definir los responsables legales y técnicos el documento.
  • Mantener contratos adecuados con todos los proveedores que tratan datos personales (lo que se llama DPA, “Data Processing Agreements” o contratos con los encargados de procesamiento de datos”). Estos contratos tienen que estar, y son fundamentales tanto para empresas chicas y grandes. Si todo o parte de los datos se guardan en servidores de otra empresa en la nube (como Amazon Web Services, por ejemplo), si contamos con un proveedor externo para analizar nuestros datos (Google Analytics), si tenemos consultores o programadores que están a cargo de la seguridad o mantenimiento de nuestra plataforma (esto aplica sobre todo a startups).
  • Ir teniendo en cuenta la figura del Delegado de Protección de Datos (Data Protection Officer, DPO), que la establece tanto la regulación va a ser una figura importante para poder mostrar que uno cumple con la normativa, para ciertos tipos de empresas (sobre todo las que traten datos a gran escala o traten datos sensibles)
  • Y en general, implementar todas las medidas de Privacy by Design, es decir, incorporar en el proceso de diseño de la plataforma y del producto tecnológico, medidas para poder cumplir con la normativa de datos y poder demostrar que lo hacemos.

Ese es el panorama general, y repito, si somos conscientes de que tenemos que cumplir con ciertas pautas básicas, que el estándar mundial subió y que realmente al generar buenos documentos (Políticas de Privacidad, Documentos de seguridad, Contratos de DPA con Proveedores), ir pensando en Data Privacy Officer e implementar medidas de privacidad por diseño, entonces estamos bien parados frente a lo que se viene.

  • Ahora, todo esto con una aclaración: si se tratan Datos Sensibles, tales como datos relativos a la salud, afiliaciones políticas, preferencias sexuales, datos biométricos, datos genéticos, entonces lo anterior aplica pero se agregar además cuidados especiales que debemos tener, que son casos aparte.
  • Checklist para cumplimiento
  • (1) Poner a Punto las Políticas de Privacidad y los Términos y Condiciones: ¿Qué puntos no pueden faltar?
    • Identidad y datos de contacto del Responsable del tratamiento
      • + Datos del Delegado de Protección de datos
    • FINALIDAD: Con qué objetivo recolectamos los datos, y con qué base jurídica (le pedimos consentimiento, la ley nos habilita a no hacerlo,)
    • DESTINATARIOS: Quiénes recibirán los datos, y en su caso, categorías
    • TRANSFERENCIA INTERNACIONAL DE DATOS: Si los datos se van a transferir a entidades en el exterior, si hay cloud computing, “blanquear” expresamente si se guardan los datos afuera y que el servicio opera así
    • PLAZO: Plazo en que se guardan los datos y CRITERIO para establecerlo
    • DERECHO DE LOS INTERESADOS: Tiene un fin educativo!!
      • Derecho de Acceso
      • Derecho de Oposición
      • Derecho de Supresión (“derecho al olvido”)
      • Derecho de Rectificación
      • Derecho de portabilidad de los datos, de retirar consentimiento, de reclamar
    • CONSECUENCIAS DE NO FACILITAR LOS DATOS: Si se les solicitan los datos como parte de un obligación legal o contractual, qué pasa si no da los datos, en general es una peor experiencia del usuario,
    • TOMA DE DECISIONES AUTOMATIZADAS: Ej. Cuándo se elaboran perfiles y para qué (para mejorar la experiencia, para control de calidad), si éstos sirven para toma de decisiones automatizadas sin intervención humana, “blanquear” el procedimiento.
      • La toma de decisiones es apta sí:
        • Es necesaria para un contrato entre el titular y el responsable
        • Es por Ley
        • Hay consentimiento explícito.

(2) Medidas de Seguridad Adecuadas respecto de los datos y armar Documentos de Seguridad Internos pertinentes

  • Qué personas tinenen acceso a qué información
  • Control de errores
  • Controles y copias de Seguridad
  • Registro de logs e incidentes, procedimientos internos a ese fin
  • Políticas de passwords
  • Identificación y autenticación de los usuarios
  • Prevención de malware
  • Encriptar
  • Disociar/anonimizar datos en lo posible
  • Auditorías
  • Protocolos de transmisión de datos

(3) Mantener contratos adecuados con todos los proveedores que tratan datos personales (lo que se llama DPA, “Data Processing Agreements” o contratos con los encargados de procesamiento de datos”)

            Ej. Empresas como Amazon incorporaron DATA PROCESSING ADDENDUM

  • Confidencialidad de los datos
  • NO Uso de los datos por ellos para otros fines fuera de los instruidos
  • Medidas técnicas y organizativas para responder a Incidentes de seguridad
  • Notificación de incidentes de seguridad, hacerse responsable por ellos
  • Si usa subprocesadores y cuáles – TRANSPARENCIA
  • Contar con certificados

(4) Ir teniendo en cuenta la figura del Delegado de Protección de Datos (Data Protection Officer, DPO)

            –Empresas de +250 Empleados (Europa)

– Tratamiento de datos a gran escala

– Actividad principal de tratamiento de datos sensibles

(5) Privacy by Design: Pensar en estos aspectos desde el primer momento, cooperar entre areas de la empresa, no esperar para lllamar a legales a ultimo momento.

Si adoptamos estas medidas, organizando los recursos que ya tenemos y acompañando a nuestros usuarios, dándoles seguridad y transparencia en el tratamiento, acompañándono de los expertos en el tema, entonces estamos en buenas condiciones de cumplir con la legislación y asegurar una transcisión exitosa.