Desde que la Unión Europea puso en marcha el GDPR, todos los sitios web europeos y poco a poco el mundo entero, han prestado especial cuidado con todo lo relacionado a la pololítica de privacidad de los datos y los usos de los mismos.
Muchas organizaciones piensan que no manejan datos sensibles de sus usuarios y que esas normativas son para las grandes corporaciones, quienes almacenan muchos datos de sus usuarios. Sin embargo, al revisar la información que maneja tu organización, te darás cuenta de que sí se almacena mucha información y que se debe tener un cuidado y uso correcto.
¿Qué es el GDPR?
GDPR es un reglamento de obligatorio cumplimiento en la Unión Europea que reemplazó la anterior ley LOPD (Ley orgánica de protección de datos española), y que busca mejorar la seguridad y protección de los datos de los usuarios.
En su traducción al español el Reglamento General de Protección de Datos en el 2018 empezó con la exigencia en resumen de 3 aspectos importantes sobre los datos de los usuarios:
- El consentimiento.
- La transferencia de datos y derecho al olvido.
- La seguridad y trazabilidad de la información que se almacena.
¿Cómo impacta el GDPR a mi organización?
Por muy pequeña que sea una organización, es casi seguro que guarde al menos datos de: sus colaboradores o empleados, voluntarios y donantes. Aunque sea un simple correo electrónico, la normativa obliga a la organización que obtiene el dato (de forma digital o analógica) a no compartir esa información con un tercero sin tener el consentimiento previo del usuario. El consentimiento tiene que ser explícito y no tácito.
En el caso de las páginas web, toda organización está obligada a informar al usuario sobre qué datos se están almacenando a través de las llamadas cookies (pequeñas unidades de código que para agilizar la navegación, almacenan información de los usuarios como páginas vistas, tiempo de lectura, ubicación GPS, entre otros datos) y darle la posibilidad de aceptar, rechazar o seleccionar qué datos se pueden almacenar.
Asimismo, si almacenas datos a través de formularios dentro de tu web o fuera de ella: como Formularios de Google, Typeform, Office, tienes el deber de notificarle al usuario para qué serán usados sus datos personales y respetar ese uso.
Aunque cualquier empresa u organización fuera de la Unión Europea podría pensar que esa ley no aplica a su quehaceres diarios, la verdad es que esta normativa ha creado una consciencia mundial en los usuarios sobre los datos que se guardan y cómo denunciar cualquier abuso que se de con el mal manejo de los mismos.
Los escándalos sobre la manipulación colectiva que puede darse a través de los datos de las redes sociales y páginas web, han ido creando conciencia en los gobiernos y ciudadanos del resto del mundo. Cada vez más se está exigiendo a las empresas fuera de la Unión Europea que otorgue el control de sus datos al usuario. Te recomendamos ver el documental “Nada es Privado” y “El dilema de las redes sociales” en Netflix.
Si una persona completó un formulario para inscribirse como voluntario de tu organización y no te dio consentimiento para más, no debes enviarle información diferente y mucho menos compartir sus datos con un tercero.
¿Qué debe decir mi política de privacidad de datos?
Si quieres empezar a hacer las cosas bien y quieres tener una política de privacidad y manejo de datos en tu sitio web o institución, recomendamos que consultes a la red probono de tu país para que expertos te asesoren al respecto. Sin embargo, te dejamos una idea de qué es lo mínimo que debe contener:
- Dirección física de la institución.
- Datos de contactos en el caso de tener algún inconveniente con la manipulación de los datos personales. Como mínimo un correo electrónico.
- Información de cuáles datos se almacenan y sus usos.
- Especificaciones de cómo puede hacer el usuario cuando quiera que actualicen y/o olviden sus datos personales.
- En el caso de compartir información con un tercero, explicar el propósito.
Adicionalmente, la Política de Privacidad debe estar siempre accesible y el usuario tiene que aceptarla, no puede quedar sobreentendido, tiene que ejecutar alguna acción que garantice que está dando su aprobación para que sus datos sean utilizados de acuerdo a dicha Política.
Cumplimiento de la política de privacidad
No caigamos en la tentación de crear una política de privacidad, colocarla en nuestro sitio web o difundirla y luego no hacer nada de lo que ahí se dice ¡Ojo con eso!
El ciudadano digital actual, cada vez entiende más de estos temas y hace cuidadoso seguimiento. Además, entiende sus derechos digitales y por muy inocente que parezca, puede demandar ante un juzgado local cualquier incumplimiento que esté colocado de forma pública.
En este sentido, recomendamos que además se establezcan los procesos internos para dar cumplimiento a lo que la política suscribe y tener a un responsable dentro del equipo que vele por la ejecución de la misma.
Tu organización podría obviar todo lo referente a la protección de datos o dejarlo para más tarde, pero esto le restaría credibilidad a tu causa. Así que es mejor empezar.
Política interna de confidencialidad
Cuando ya se tiene la conciencia de que la organización almacena datos y lo sensible de los mismos, es recomendable tener un acuerdo de confidencialidad suscrito con los colaboradores y voluntarios que contenga:
- Indicación expresa de que toda la información y datos de usuarios que maneje es estrictamente de carácter confidencial.
- Explicación de que el colaborador o voluntario sólo hará uso de los datos para las tareas que se le asignen.
- Expresamente debe indicar que no podrá hacer ningún tipo de copia o reproducción total o parcial de los datos de los usuarios.
- Indicación de que velará por el correcto uso de la información en lo interno y hacia lo externo.
- Especificar las consecuencias laborales y legales en las que incurrirá si se incumple alguno de los aspectos.
- Indicación que el incumplimiento del referido acuerdo de confidencialidad es causa de terminación de la relación laboral o de voluntariado con la organización, so pena de responder por los daños morales o patrimoniales causados.
Si aún no tienes un acuerdo de confidencialidad, puedes descargar una plantilla aquí
Hacia la web 3.0
El mundo tecnológico no se detiene, por el contrario avanza con velocidad vertiginosa y deja en el camino a quienes no logran adaptarse pronto a sus exigencias.
La web 1.0 permitía la navegación con hipervínculos, sin interacción con usuarios, luego vino la web 2.0 que permitió los likes, los comentarios, los blogs, los chats en vivo, ahora estamos hablando de la web 3.0 donde los datos provenientes de múltiples dispositivos será interpretada por la inteligencia artificial para plantear experiencias de navegación personalizadas.
Si ya en la web 2.0 la privacidad era un asunto importante, en la web 3.0 será vital generar confianza a través del uso responsable de datos. Empecemos sentando bases sólidas de seguridad y protección hacia nuestros stakeholders.
Sabemos que realizar todos estos ajustes o adaptaciones en tu web y tu dinámica de trabajo puede resultar abrumador, pero no te preocupes, recuerda que cuentas con nosotros para acompañarte en ese proceso. Si tienes dudas o necesitas asesoría, contacta con nosotros.
Autor: Marianella Santiago
Coordinadora de Innovación y Voluntariado