GDPR Checklist for Websites and Apps

El Reglamento General de Protección de Datos (GDPR) es una regulación por la cual el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de fortalecer y unificar la protección de datos para todas las personas dentro de la Unión Europea. El nuevo régimen de protección de datos de la UE propuesto extiende el alcance de la Ley de Protección de Datos de la UE a todas las empresas extranjeras que procesan los datos de los residentes de la UE.

• La solicitud tiene una declaración de privacidad.
• La aplicación no recopila ni procesa más datos ni durante una mayor duración de lo que es estrictamente necesario para el propósito previsto como se comunica al usuario.
• Los usuarios finales han acordado explícitamente el procesamiento de datos personales. (No se permiten cajas precipitadas).
• La aplicación proporciona información de contacto en el controlador que es fácil de encontrar.
• La aplicación tiene una casilla de verificación separada en el formulario de registro para cada actividad de procesamiento en particular.
• Está claro para el usuario final sobre lo que él/ella da permiso. Esto se explica de manera transparente, concisa y comprensible. El soporte visual se utiliza donde sea relevante. Especialmente cuando la información está destinada a un niño.
• Si corresponde, se afirma que un niño solo puede dar permiso si tiene 16 años de edad o más. De lo contrario, se necesita el permiso de un padre. Debe demostrarse razonablemente que un padre ha dado permiso.
• Si la solicitud incluye la toma de decisiones, debe quedar claro cómo se toma esa decisión. (Ejemplo)
• Si la aplicación incluye anuncios programáticos, debe estar claramente autorizado por el usuario.
• La aplicación permite a los usuarios finales ver y ajustar datos que el usuario) comparten activamente (por el usuario).
• Se ha realizado una evaluación apropiada cuando los datos se pseudonimizan y este proceso está sintonizado. (Ejemplo)
• Se toman medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo, incluida la entre otros según corresponda:
  • La seudonimación y el cifrado de datos personales.
  • La capacidad de garantizar la confidencialidad continua, la integridad, la disponibilidad y la resistencia de los sistemas y servicios de procesamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.
  • Un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

Derecho de acceso por el tema de los datos
El sujeto de datos tiene derecho a obtener la confirmación de un controlador de que los datos se están procesando sobre él. En ese caso, se debe proporcionar la siguiente información:

• el propósito del procesamiento
• qué categorías de datos personales se procesan
• ¿Qué terceros también han recibido estos datos personales?

Además, es la intención de que la persona en cuestión se gane el "acceso" a los datos procesados ​​sobre él. Esto podría hacerse, por ejemplo, exportando el archivo que se creó sobre la persona en cuestión.

Derecho a la rectificación
El sujeto de datos tiene derecho a que sus datos rectifiquen si no son correctos o incompletos. Si ha compartido esta información con terceros como controlador, debe informar a estas partes sobre esta rectificación si es posible.

Derecho a borrar ('derecho a ser olvidado')
Debido al derecho a borrar, también conocido como el "derecho a ser olvidado", el sujeto de datos tiene el derecho de solicitar la eliminación de sus datos. El derecho se puede usar en los siguientes casos:

• Los datos ya no se necesitan en relación con el propósito del procesamiento.
• El sujeto de datos retiró su consentimiento al procesamiento
• El sujeto de datos se opone al procesamiento, y no hay un interés legítimo demostrable para continuar con este procesamiento
• Los datos han sido procesados ​​ilegalmente
• Los datos deben eliminarse debido a una obligación legal

Derecho a la restricción del procesamiento
El sujeto de datos puede solicitar un bloqueo del procesamiento. Esto significa que, excepto que los datos se conservan, no se puede realizar ningún otro procesamiento (incluida la no eliminación).

Derecho a la portabilidad de datos
El sujeto de datos tiene derecho a recibir los datos personales que ha puesto a disposición del controlador, en un formato estructurado y ampliamente utilizado (este formato debe ser legible por máquina, por ejemplo, un archivo CSV o en formato JSON). Tiene derecho a transferir estos datos a otro controlador.

Derecho a objetar
El sujeto de datos puede objetar el procesamiento de sus datos si el procesamiento se ha efectuado sobre la base de los siguientes puntos:

• El procesamiento es necesario para una tarea de interés general o para una tarea en el ejercicio de la autoridad pública confía al controlador
• El procesamiento es necesario para la representación de los intereses legítimos del controlador o de un tercero

Si la objeción de un sujeto de datos está bien fundado, el procesamiento debe descontinuarse, a menos que pueda demostrar que existen razones legítimas demostrables para continuar con el procesamiento, o porque los datos son necesarios para reclamos legales. Si se refiere a una objeción relacionada con el marketing directo, el procesamiento debe detenerse en el momento en que entra la objeción.

• Si un usuario final ha realizado la solicitud para eliminar los datos, el controlador es responsable de eliminar los datos de sí mismo y de otras partes.
• Si el controlador persigue un propósito diferente con los datos, entonces se ha informado de antemano, esto debe comunicarse al usuario final antes de comenzar el procesamiento de datos para ese propósito.
• En el caso de una violación de datos personales, el controlador deberá sin demora indebida y, donde sea factible, a más tardar 72 horas después de haberlo tomado en cuenta, notificará la violación de datos personales a la autoridad de supervisión.
• El controlador debe tomar medidas técnicas y orgiásticas apropiadas y debe poder demostrar que el procesamiento se lleva a cabo de acuerdo con esta regulación.
• El procesador no emplea otro procesador sin el consentimiento previo por escrito del controlador.
• El procesamiento de datos personales de categorías especiales está prohibido a menos que la persona haya dado permiso explícitamente para la confidencialidad de los datos personales para uno o más fines bien definidos o los datos aparentemente hechos públicos por la persona.

Una declaración de privacidad debe cumplir con las siguientes características:

• corto
• transparente
• comprensible
• fácilmente accesible

La declaración de privacidad debe al menos contener la siguiente información:

• Identidad y información de contacto del controlador que permitirá a los usuarios plantear cualquier pregunta que puedan tener en relación con su protección de la privacidad o ejercer sus derechos para acceder, corregir y eliminar sus datos, y su derecho a la portabilidad de los datos
• Una descripción clara de los fines para los que se procesarán los datos personales
• Los intereses legítimos del controlador (si corresponde)
• Cualquier destinatarios (o categorías de destinatarios) de los datos personales (por ejemplo, posibles procesadores como terceros)
• Información sobre el reenvío de los datos personales a un tercer país (fuera de la UE), si corresponde
• El período de retención o los criterios por el cual se determina el período de retención
• La persona en cuestión debe ser informada de los derechos que tiene
• La persona en cuestión debe ser informada del derecho de retirar su consentimiento al procesamiento
• La persona en cuestión debe ser informada de su derecho a presentar una queja ante el supervisor
• Si se utiliza la toma de decisiones automatizadas, esto debe mencionarse
• Los datos personales no pueden almacenarse durante más tiempo de lo necesario para el propósito para el cual estos datos se procesaron originalmente. Si no hay un período de almacenamiento 'duro' para determinar, entonces la declaración de privacidad debe especificar los criterios que determinan el período de retención.

• Originación racial o étnica
• Opiniones políticas
• Convicciones religiosas o filosóficas
• Membresías de uniones comerciales
• Genética
• Biometría (donde se usa para fines de identificación)
• Salud
• Comportamiento sexual o orientación sexual

Cualquier persona, autoridades públicas o agencias distintas del usuario final, controlador o procesador que esté autorizado para procesar datos personales. Pensar en:

• Análisis de Google
• Hotjar
• Mailchimp
• etc.

En el caso de una aplicación hipotecaria donde el usuario llena varios datos y luego el sistema decide si el usuario es elegible o no para una hipoteca. Cómo surgió esa decisión debe ser transparente.

Después de que un usuario final no ha iniciado sesión durante medio año, los datos, por ejemplo, sus resultados de una prueba, se suudonimentan.

Cualquier forma de información relacionada con una persona natural identificada o identificable ('Asunto de datos'). Piense en el nombre, un número de identificación, datos de ubicación, un identificador en línea, pero también factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural.

El procesamiento de datos personales de tal manera que los datos personales ya no se pueden atribuir a una persona específica sin el uso de información adicional.

La persona natural o jurídica, la autoridad pública, la agencia u otro organismo que, solo o conjuntamente con los demás, determina los propósitos y medios del procesamiento de datos personales.

Una persona natural o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador;

Cualquier operación o conjunto de operaciones que se realice en datos personales o en conjuntos de datos personales.

Una violación de la seguridad que conduce a la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada de los datos personales transmitidos, almacenados o procesados ​​de otra manera.