A partir del 25 de maig entra en marxa el nou Reglament General de Protecció de Dades que ve a substituir l’anterior Llei Orgànica de Protecció de Dades de Caràcter personal (Directiva 95/46/EC). El RGPD, (també conegut com GDPR, per les sigles en anglès), és el nou text de referència europeu en matèria de protecció de dades, que ve per reforçar i unificar la protecció de les dades dels individus en el si de la Unió Europea. S’estén el camp d’aplicació de la llei al conjunt de les empreses i entitats, incloses aquelles no europees quan treballin amb informació personal de residents europeus.
L’incompliment d’aquesta llei pot suposar sancions de fins al 4% de la facturació anual o bé fins a 20 milions d’euros. P.e. 50000€ a un autònom per enviar email sense consentiment pot ser realment un gran problema. També no informar als clients d’un forat de seguretat o bé no tenir al dia els seus registres pot suposar una sanció greu.
La nova actualització de WordPress 4.9.6 arriba amb millores en el codi, però també s’adapta al nou RGPD. Porta eines per la gestió i exportació de les dades personals dels usuaris i per l’eliminació i també suggeriments per a adaptar la web i els seus textos legals.
Es la teva responsabilitat escriure una política de privadesa comprensible, per assegurar-te que reflecteix tots els requisits legals nacionals i internacionals sobre privadesa així com mantenir-la actualitzada i acurada.
El contingut publicat és de fonts de l’equip de WordPress. Inforber no es fa responsable del seu contingut.
Sota el títol de cada secció hi trobareu un petit resum de quina és la informació que hauríeu de proporcionar, la qual cosa us ajudarà a començar. Algunes seccions inclouen suggeriments en relació al contingut de la política, d’altres les haureu de completar amb informació sobre el tema i amb l’ajut d’extensions o mòduls.
Qui som
En aquesta secció hauríeu d’anotar l’URL del lloc web, així com el nom de l’empresa, organització o persona que hi ha al darrere, i informació de contacte acurada.
La quantitat d’informació que hauríeu de mostrar depén de les normes locals o estatals. Per exemple, potser heu de mostrar una adreça física, o una adreça de registre, o el número d’identificació de l’empresa.
Text suggerit: La nostra adreça web és: https://(xxx.xxxxxxx.xx).
Quines dades personals recollim i per què
En aquesta secció hauríeu d’anotar quines són les dades personals que recolliu dels usuaris i visitants del web. Això inclou dades personals, com el nom, el correu electrònic o preferències del compte personal; dades transaccionals, com informació de compra; i dades tècniques, com informació sobre les galetes.
També hauríeu d’anotar qualsevol col·lecció i retenció de dades personals sensibles, com qualsevol dada relacionada amb la salut.
A més de llistar les dades personals que recolliu, heu d’especificar per a què les recolliu. Aquestes explicacions han de contenir tant la base legal de la recollida de dades i la seva retenció o el consentiment actiu que hagi donat l’usuari.
Les dades personals no només es creen amb les interaccions dels usuaris amb el vostre lloc web. Les dades personals també es generen a partir de processos tècnics com formularis de contacte, comentaris, galetes, analítiques i incrustacions de tercers.
De manera predeterminada, el WordPress no emmagatzema cap dada personal sobre els visitants, i només desa la informació que es mostra al perfil d’usuari per als usuaris registrats. No obstant, algunes extensions poden recollir dades personals. Afegiu la informació rellevant a sota.
Comentaris
En aquesta subsecció hauríeu d’anotar quina informació és capturada als comentaris. Hem detectat les dades que el WordPress recull per defecte.
Text suggerit: Quan els visitants deixen comentaris a la web, recollim les dades que es mostren al formulari de contacte, així com també l’adreça IP del visitant i la cadena de l’agent de l’usuari del navegador per ajudar a la detecció de missatges brossa.
Una cadena anonimitzada creada a partir del correu electrònic (també nomenat un hash) pot proporcionar-se al servei Gravatar per veure si l’esteu usant. La política de privadesa del servei Gravatar està disponible aquí: https://automattic.com/privacy/. Una vegada aprovat el comentari, la imatge del vostre perfil és visible al públic al context del comentari.
Mèdia
En aquesta subsecció hauríeu d’anotar quina informació pot ser revelada pels usuaris que poden penjar fitxers multimèdia. Tots els fitxers penjats normalment són accessibles públicament.
Text suggerit: Si pugeu imatges al lloc web, heu d’evitar pujar imatges que incloguin dades de geolocalització (EXIF GPS) incrustades. Els visitants del lloc web poden descarregar i extreure qualsevol informació de les imatges de la web.
Formularis de contacte
Per defecte, el WordPress no inclou un formulari de contacte. Si useu una extensió de formulari de contacte, useu aquesta subsecció per anotar quines dades personals es capturen quan algú envia un formulari de contacte, i quan de temps les manteniu. Per exemple, podeu anotar que manteniu els enviaments de formulari durant un cert període amb propòsits de servei al client, però no useu la informació enviada mitjançant ells per a propòsits de màrqueting.
Galetes
En aquesta subsecció hauríeu de llistar les galetes que fa servir el web, incloent-hi les que provenen d’extensions, xarxes socials i analítiques. Us deixem una relació de les galetes que el WordPress instal·la per defecte.
Text suggerit: Si deixeu un comentari en la pàgina web, podeu optar per desar el nom, l’adreça de correu electrònic i la pàgina web en les galetes. Això és per la vostra comoditat per a què no hagueu d’emplenar les dades de nou quan feu un altre comentari. Aquestes galetes duraran un any.
Si teniu un compte i inicieu sessió en aquesta pàgina web, es definirà una galeta temporal per determinar si el navegador accepta galetes. Aquesta galeta no conté dades personals i es descartarà quan tanqueu el navegador.
Quan inicieu sessió, també es configuraran diverses galetes per desar la informació d’inici de sessió i les opcions de visualització de la pantalla. Les galeres d’inici de sessió duren dos dies, i les galetes de les opcions de pantalla duren un any. Si seleccioneu “Recordeu-me”, l’inici de sessió persistirà durant dos setmanes. Si finalitzeu la sessió, les galetes d’inici de sessió seran suprimides.
Si editeu o publiqueu un article, una galeta addicional es desarà al navegador. Aquesta galeta no inclou dades personals i simplement indica l’identificador de l’entrada que acabeu d’editar. Expira després d’1 dia.
Contingut incrustat d’altres llocs web
Text suggerit: Els articles en aquesta pàgina web inclou contingut incrustat (per exemple, vídeos, imatges, articles, etc.). El contingut incrustat des d’altres pàgines web es comporta exactament de la mateixa manera com si el visitant estiguera visitant l’altra pàgina web.
Aquestes pàgines web poden recollir dades sobre vós, fer servir galetes, incrustar seguiment addicional de terceres parts, i monitoritzar la interacció amb el contingut incrustat, incloent la traça de la interacc
ió amb el contingut incrustat si teniu un compte i heu iniciat sessió en aquesta pàgina web.
Analítiques
En aquesta subsecció hauríeu d’anotar el paquet d’anàlisi que useu, com els usuaris poden optar per no fer el seguiment d’anàlisi, i un enllaç a la política de privadesa del proveïdor d’anàlisi, si n’hi ha.
Per defecte el WordPress no recull cap dada analítica. Malgrat això, molts comptes d’allotjament web recullen algunes dades analítiques anònimes. Podeu també tenir instal·lat una extensió del WordPress que proporciona serveis analítics. En aquesta cas, afegiu informació d’aquesta extensió aquí.
Amb qui compartim les vostres dades
En aquesta secció hauríeu de nomenar i llistar tots els proveïdors tercers amb qui compartiu les dades del lloc web, incloent socis, serveis basats en el núvol, processadors de pagament i proveïdors de serveis, i anotar quines dades compartiu amb ells i per què. Enllaceu amb les seves polítiques de privadesa si és possible.
Per defecte, el WordPress no comparteix cap dada personal amb ningú.
Quan de temps retenim les dades
En aquesta secció hauríeu d’explicar quan de temps reteniu les dades personals recollides i processades per la pàgina web. Com que és responsabilitat vostra elaborar el calendari de quant de temps manteniu cada conjunt de dades i per què el manteniu, aquesta informació necessita llistar-se aquí. Per exemple, és possible que vulgueu dir que conserveu les entrades del formulari de contacte durant sis mesos, els registres d’anàlisi durant un any i els registres de compra del client durant deu anys.
Text suggerit: Si deixeu un comentari, el comentari i les seves dades meta es retenen indefinidament. Això és per poder reconèixer i aprovar automàticament qualsevol comentari de seguiment en lloc de mantenir-los en la cua de moderació.
Per als usuaris que es registren en la web (si hi ha), també emmagatzemem la informació personal que proporcionen al seu perfil d’usuari. Tots els usuaris poden veure, editar o suprimir la seva informació personal en qualsevol moment (excepte que no poden canviar el seu nom d’usuari). Els administradors de la pàgina web poden també editar aquesta informació.
Quins drets teniu sobre les vostres dades
En aquesta secció hauríeu d’explicar quins són els drets que els usuaris tenen sobre les seves dades personals i com poden exercir aquests drets.
Text suggerit: Si teniu un compte en aquest lloc web o heu deixat comentaris, podeu demanar que us enviem un fitxers amb l’exportació de les vostres dades personals, incloses qualsevol dada que ens hagueu proporcionat vosaltres. També podeu demanar que esborrem qualsevol dada personal vostra que tinguem. Això no inclou qualsevol dada que estiguem obligats a conservar amb propòsits administratius, legals o de seguretat.
On enviem les vostres dades
En aquesta secció hauríeu d’enumerar totes les transferències de dades del vostre lloc cap a fora de la Unió Europea i descriure els mitjans amb els quals aquestes dades es garanteixen que s’han adequat a les normes europees de protecció de dades. Això podria incloure l’allotjament web, l’emmagatzematge en el núvol o altres serveis de tercers.
La llei de protecció de dades europea obliga que les dades de residents europeus que es transfereixin fora de la Unió Europea es tractin amb els mateixos estàndards de privadesa que si les dades estiguessin a Europa. Per això, a més de indicar on van les dades, heu de descriure com assegureu que aquests estàndards es compleixen bé per vosaltres mateixos o bé pels vostres proveïdors externs, ja sigui mitjançant un acord com ara el Privacy Shield entre USA i EU o mitjançant clàusules model en els vostres contractes o regles corporatives vinculants .
Text suggerit: Els comentaris dels visitants han de ser comprovats mitjançant un servei de detecció de brossa automatitzat.
Informació de contacte
En aquesta secció, hauríeu de proporcionar un mètode de contacte per a qüestions relacionades amb la privadesa. Si compteu amb un delegat de protecció de dades (DPO), indiqueu-ne aquí, també, el nom i les seves dades de contacte.
Informació addicional
Si el web té finalitats comercials i realitzeu una recollida o processament de dades personals més complexa, hauríeu d’anotar la següent informació per a la política de privadesa, a més de tot el que ja hem vist.
Com protegim les vostres dades
En aquesta secció hauríeu d’explicar quines mesures heu pres per protegir les dades dels usuaris. Això podria incloure mesures tècniques com ara l’encriptació; mesures de seguretat com ara l’autenticació de dos factors; i mesures com ara l’entrenament del personal en protecció de dades. Si heu realitzat una avaluació de l’impacte de la privadesa, també podeu mencionar-la aquí.
Quins procediments d’incompliment de dades tenim en el lloc
En aquesta secció hauríeu d’explicar quins procediments teniu previstos per fer front als forats en la seguretat de les dades, ja siguin potencials o reals, com ara sistemes d’informació interns, mecanismes de contacte o programes de recompensa per a “caçadors d’errors”.
De quins tercers rebem dades
Si el lloc web rep dades sobre usuaris de tercers, inclosos els anunciants, aquesta informació s’ha d’incloure dins l’apartat de la política de privadesa que tracta sobre dades de tercers.
Quina presa de decisions automatitzada i/o perfil fem amb les dades de l’usuari
Si el web proporciona un servei que inclou la presa de decisions automatitzada –per exemple, permetent als clients sol·licitar un crèdit, o agregant les seves dades en un perfil de publicitat– heu d’anotar que això, efectivament, està tenint lloc, i proporcionar informació sobre com es fan servir aquestes dades seves, quines decisions es prenen amb les dades agregades, i quins són els drets dels usuaris pel que fa a les decisions sense intervenció humana.
Requisits de divulgació reglamentària de la indústria
Si formeu part d’una indústria regulada, o si esteu subjecte a lleis de privadesa addicionals, potser heu d’indicar aquesta informació aquí.
Font: WordPress
Finalment, i com a recomanació important: consulta al teu assessor legal per implementar totes les accions sobre la web i per a la teva empresa (Inforber et pot recomanar una agència). Si vols que Inforber Web Pro faci l’adaptació tecnològica de la teva web, demana’ns una proposta.
