Indicaciones y directrices con relación a las actividades que desarrolla
A continuación, se muestran indicaciones y recursos que pueden ser de utilidad en el contexto de las actividades que desarrolla a fin de abordar las obligaciones asociadas a sus actividades de acuerdo con las previsiones de protección de datos del RGPD y la LOPDGDD.
Lo primero que deberá considerar, a fin de proteger el derecho de terceros a la protección de sus datos en cualquiera de las actividades que realice, es el principio de protección de datos desde el diseño que, como requisito legal, se traduce en la obligación de integrar todas las garantías necesarias para la protección de los derechos y libertades de los ciudadanos con relación a sus datos personales desde las primeras etapas del desarrollo de sistemas, productos y servicios. Para ello, además de las estrategias y medidas enumeradas en el apartado anterior, la AEPD pone a su disposición la “Guía de Privacidad desde el Diseño” a fin de ayudarle a considerar la estrategia de protección de datos desde el diseño más adecuada para cada uno de los sistemas, productos o servicios que precise elaborar en el marco de sus actividades y utilice los principios de privacidad desde el diseño y seguridad desde el diseño para aumentar la calidad de los productos y servicios que desarrolle.
Siempre que los desarrollos o los servicios en los que base su negocio recopilen datos de personas deberá de aplicar el principio de minimización de datos por el que únicamente estará en condiciones de solicitar al cliente o usuario final la información mínima y necesaria para la prestación de dichos servicios. Puede consultar la web de la AEPD para encontrar más información sobre las obligaciones a las que se encuentra sujeto un responsable de un tratamiento de datos personales.
Ya sea usted responsable (determina la finalidad la para la que se utilizan los datos o informaciones de las personas, así como los medios con los que se lleva a cabo el tratamiento) o encargado del tratamiento (accede o trata los datos o informaciones personales siguiendo instrucciones del responsable) deberá de tener en cuenta las medidas de cumplimiento que le son aplicables y que se mencionan a continuación.
Existen supuestos de tratamiento, regulados por el RGPD y la LOPDGDD, en los que la designación de un Delegado de Protección de Datos encargado de supervisar el cumplimiento de la normativa en materia de protección de datos y de informar y asesorar al responsable o, en su caso, al encargado del tratamiento, es obligatoria. No obstante, si su entidad actúa como desarrollador de productos, sistemas o servicios o bajo el rol de encargado de tratamiento y no necesita contar con esta figura en su organización, es recomendable que tenga en cuenta la necesidad de consultar y obtener asesoramiento por parte del Delegado de Protección de Datos del que pudiera disponer el propio responsable del tratamiento para garantizar que el servicio que le está prestando es conforme con la normativa. Para obtener más información sobre la figura del Delegado de Protección de Datos puede consultar este enlace.
Si, en su caso, desarrolla productos, sistemas o servicios que puedan ser utilizados para el tratamiento de datos personales por parte de un posible responsable o encargado, tenga en cuenta que las recomendaciones y exigencias legales que se señalan a continuación darán un valor añadido a sus desarrollos y, además, será un factor clave para obtener la confianza de los usuarios finales cuyos datos o informaciones personales van a ser procesados.
Valore la posibilidad de disponer de una política de seguridad que establezca fundamentos claves para llevar a cabo sus actividades o sus desarrollos. Incluya en dicha política un procedimiento para la gestión y notificación de brechas de seguridad, procedimiento que deberá de contemplar la posibilidad de que haya que notificar a los propios afectados de esa eventual brecha de seguridad a fin de que puedan tomar las medidas oportunas para protegerse en la medida que ellos consideren necesarias.
Disponga también de una política de protección de datos y privacidad para los productos y servicios que desarrolle. Será un valor añadido para el cliente destinatario de sus desarrollos que contribuirá a la obtención de la confianza de los usuarios o clientes finales.
Tenga en cuenta el conjunto de normativas generales y sectoriales que le pudieran ser de aplicación en el desarrollo de sus productos y servicios, en particular el RGPD, la LOPDGDD, la LSSI o la LPI.
En los desarrollos que lleve a cabo o de los que sea usuario como responsable de un tratamiento de datos, incluya mecanismos para el ejercicio de los derechos de los interesados. Tenga en cuenta que, como responsable, deberá de atender los derechos de aquellas personas cuyos datos son tratados y, además, deberá de demostrar que esta actividad se lleva a cabo. Se recomienda que los medios para poder realizar esta actividad estén incorporados en la plataforma que se desarrolle en cada caso como un valor añadido a los servicios o productos que integre y como mecanismo para garantizar la confianza de los usuarios o clientes finales.
Cuando sus productos o servicios utilicen recursos en la nube, tenga en cuenta que podría estar realizando una transferencia internacional de datos las cuales están sujetas al cumplimiento de las garantías que determina el RGPD.
Otro de los factores que debe tener en consideración en el diseño de los productos y servicios que utilice o que desarrolle son los principios de limitación del tratamiento y minimización de datos, muy ligados al de ciclo de vida del dato, y que vienen a determinar que sólo serán tratados los datos necesarios en cada etapa del tratamiento y que no deberán de conservarse de manera indefinida, lo que está alineado con el concepto de supresión de datos que incorpora el RGPD. Tenga en cuenta que la conservación de los datos implica siempre la existencia de riesgos para los derechos y libertades de las personas. Sobre la interpretación de este concepto y su relación con dichos riesgos puede consultar la “Guía práctica de análisis de riesgos para el tratamiento de datos personales” y la “Guía práctica para las evaluaciones de impacto en protección de datos personales”.
La AEPD viene publicando habitualmente contenido técnico que podría ser de utilidad para los productos que desarrolla y que, al mismo tiempo, también podrían serle de utilidad si, en calidad de responsable, precisa llevar a cabo un tratamiento de datos personales mediante productos y servicios que precisen un desarrollo tecnológico con el objetivo de que incorpore a estos, desde las primeras etapas de análisis y diseño, los requisitos que establece el RGPD y la LOPDGDD a fin de evitar riesgos para los derechos y libertades de las personas cuyos datos van a ser tratados con dichos desarrollos. Esta información está disponible en el área de innovación y tecnología de la AEPD, donde podrá encontrar guías, informes, estudios, notas técnicas, herramientas y enlaces de interés que le serán de ayuda para abordar los principios de protección de datos que deben cumplir dichos desarrollos.
Tenga en cuenta que, con independencia de las orientaciones mencionadas en materia de gestión de riesgos, las recomendaciones y directrices que se incluyen a continuación pueden ser de utilidad a la hora de mitigar los posibles riesgos que, para los derechos y libertades de las personas, pudieran tener las actividades que ha indicado que desarrolla:
MARKETPLACE Y/O COMERCIO ELECTRÓNICO
El éxito del desarrollo de sitios web orientados al comercio electrónico se basa, principalmente, en la confianza del cliente que se genera a través de la identidad digital corporativa de un entorno de aplicaciones. Existen algunos aspectos claves que debe de tener en cuenta con relación a la protección de datos de los clientes o usuarios finales de estos sitios web, como por ejemplo, garantizar la privacidad y la seguridad en las comunicaciones y los medios de pago, elegir un proveedor de servicio web que le garantice la seguridad, elegir sellos de confianza así como el resto de obligaciones legales a las que pueda verse sujeta su actividad comercial.
Para garantizar la consecución de los objetivos que persigue con un desarrollo orientado al comercio electrónico es fundamental garantizar la protección de los datos de los clientes y usuarios así como la seguridad del sitio web desde el diseño, como ya se ha indicado. La AEPD ha desarrollado la “Guía de Privacidad desde el Diseño” para orientarle a determinar sus objetivos con relación a este principio normativo y, por tanto, de obligado cumplimiento que establece el RGPD. Con relación al principio de seguridad de la información desde el diseño y que deberá de tener en cuenta para garantizar la integridad, la confidencialidad y la disponibilidad de los desarrollos orientados al Marketplace, puede también consultar las orientaciones de carácter general que le proporciona INCIBE para la protección de sitios web.
La AEPD pone también a su disposición la “Guía de compra segura en internet” que, si bien está orientada al consumidor final, puede ser utilizada para orientar al desarrollador o al responsable de un Marketplace para que tenga en cuenta aquellos elementos que inciden directamente en el factor de confianza del cliente o usuario final de estos desarrollos.
La identidad digital corporativa de un sitio web es clave para garantizar la confianza del consumidor. Uno de los objetivos del desarrollador o de un responsable de un Marketplace debe ser el de proteger esta identidad digital frente a las posibles amenazas de las que puede ser objeto. En este sentido, INCIBE pone a su disposición información para identificar amenazas a las que se encuentran expuestas las webs orientadas al Marketplace teniendo en cuenta que cualquier sitio web es susceptible de ver suplantada su identidad digital.
Uno de los mecanismos de suplantación de la identidad digital de un sitio web es mediante el uso de recursos varios como, por ejemplo, la utilización de dominios DNS orientados a confundir al usuario y generar desconfianza. En este sentido, preste especial atención al posible acaparamiento de dominios de internet que pudieran tener nombres similares al utilizado por los sitios web de los que es responsable y tenga en cuenta las recomendaciones de INCIBE con relación a esta amenza, que también puede suponer una amenaza a la posible propiedad intelectual de los sitios web o a situaciones de competencia desleal. Otra de las formas habituales de suplantación de la identidad digital de un sitio web es la utilización de la propia imagen del sitio web con la finalidad de obtener datos personales de los clientes de forma ilícita haciéndoles creer que están accediendo al Marketplace legítimo cuando en realidad acceden a una página web desconocida y fraudulenta en la que, posiblemente, proporcionarán su identificador de usuario y su contraseña que posteriormente podrán ser utilizadas con finalidades ilícitas.
Recuerde también la necesidad de establecer una política de privacidad en relación a sus servicios, ya tengan como base una web o una app para dispositivos móviles, que sea transparente para el cliente o usuario final. Tenga en cuenta que deberá de cumplir determinados requisitos legales generales como el RGPD, la LOPDGDD, la LSSI o la LPI, además de normativas específicas que le sean de aplicación a su sector de actividad. Esta herramienta le proporciona un modelo de cláusulas informativas, política de privacidad y política de cookies que le serán de ayuda para abordar el principio de información con relación a las normas señaladas. La AEPD también le proporciona una guía específica sobre el uso de cookies. No olvide que la transparencia y el deber de informar, además de ser requisitos legales establecidos en el RGPD, también son una pieza clave a la hora de fidelizar al usuario final o al cliente de una plataforma Marketplace.
Valore la posibilidad de establecer canales específicos para comunicar al responsable de un Marketplace la posible existencia de compras fraudulentas o de intentos de llevarlas a cabo. También puede implementar en el desarrollo de las aplicaciones y entornos web mecanismos automáticos de ayuda a la detección de posibles fraudes, como por ejemplo, el envío de un gran número de mensajes de correo electrónico a un mismo usuario o cliente en un tiempo excesivamente corto.
Tenga en cuenta que, si su Marketplace se encuentra ubicado en la nube, existen ciertas garantías legales de cumplimiento que le exige el RGPD como, por ejemplo, el hecho de que, sea cual sea la ubicación física en la que se encuentren los datos, se garantice en todo momento el derecho a la protección de datos de los usuarios o clientes. Entre estas garantías deberá también tener en cuenta la necesidad de garantizar la seguridad de la información, tanto si la información se encuentra en la nube como si se encuentra en sistemas físicos diferentes. Los países que integran la Unión Europea disponen de un nivel de seguridad y protección de datos equivalente, para el resto de situaciones posibles, puede consultar en la web de la AEPD si los países destinatarios que disponen del nivel de adecuación necesario . A falta de decisión de adecuación, en esta página podrá consultar qué otras garantías resultan válidas. Además, para completar la información aquí mostrada, la AEPD pone a su disposición guías y orientaciones con relación al uso de servicios en la nube, como la “Guía para clientes que contraten servicios de Cloud Computing” o la guía de “Orientaciones para prestadores de servicios de Cloud Computing”. Adicionalmente, y con el fin de analizar los riesgos y amenazas de los servicios de cloud que utilice, puede consultar la guía de INCIBE así como otras informaciones y orientaciones de carácter general acerca de servicios cloud.
Si lleva a cabo el desarrollo de apps integradas en el Marketplace, tenga en cuenta que deberá abordar los principios de protección de datos desde el diseño y de seguridad desde el diseño. Para ello, pueden resultarle de utilidad las recomendaciones que la AEPD publica en su área de innovación tecnológica o las recomendaciones facilitadas por INCIBE.
Valore la posibilidad de implementar un servicio de doble factor que proporcione seguridad a las transacciones mediante, por ejemplo, el envío de un SMS al terminal móvil del usuario para la validación del pago
Por último, si usted es responsable de un Marketplace o si lleva a cabo desarrollos de estas plataformas o sus entornos aplicativos, valore la posibilidad de suscribirse a un servicio de alertas como el servicio de INCIBE sobre avisos de seguridad o el servicio de alertas específico orientado al fraude online y phising ofrecido por el Centro Criptológico Nacional (CCN) y que le serán de gran ayuda para estar al corriente de las posibles vulnerabilidades que afecten a sus desarrollos o sus infraestructuras de Marketplace.