¿Qué es la ley GDPR y cómo está SiteGround preparándose para cumplir con ella?

Estamos recibiendo más y más consultas de clientes que preguntan si SiteGround cumplirá con la nueva ley GDPR. Con este artículo, nos gustaría explicar lo que hemos estado haciendo y compartir nuestra experiencia para cumplir con GDPR, como una manera de informarte acerca de lo que puedes esperar de nosotros en el próximo mes, antes del 25 de mayo de 2018, y como una forma de ayudarte a prepararte para la GPDR por tu cuenta.

El uso de nuestros datos personales por parte de grandes compañías es, sin duda, el tema más candente en este momento y no creemos que nadie dude de la importancia de las regulaciones para evitar abusos y mejorar la seguridad de esos datos. El Reglamento General de Protección de Datos Europeo (RGPD o GDPR), que entrará en vigor el 25 de mayo de 2018, tiene el objetivo de hacer exactamente eso: regular cómo se recopilan y utilizan los datos personales de las personas en el territorio de la UE. Define qué son datos personales (literalmente todos): nombre, correo electrónico, nombre de usuario, dirección, número de teléfono, datos financieros, edad, datos de comportamiento… y obliga a todos los que recopilan y procesan dichos datos a que actúen de acuerdo con esta regulación, sin importar de dónde sea la empresa o en qué parte del mundo se encuentre esa persona.

SiteGround comenzó el proceso de cumplimiento de la nueva ley GDPR hace aproximadamente un año y seguimos trabajando con todos nuestros esfuerzos para cumplir con ella. Creemos que la ley GDPR es buena para los usuarios y buena para la seguridad general de Internet, además de que siempre hemos estado actuando de acuerdo con sus principios fundamentales. Ahora nuestro objetivo es auditar y hacer públicas estas reglas internas, y también asegurarnos de aplicar la letra y el espíritu de la ley GDPR a todos nuestros clientes, sin importar si eres residente de la UE o residente de otro país.

GDPR ayuda a los usuarios a mantenerse informados y les da más control

La ley GDPR es realmente genial cuando se ve desde la perspectiva de los usuarios. Cuando un usuario se registra para obtener un servicio gratuito o de pago, ya sea una app o cualquier otra cosa, y proporciona sus datos personales, el proveedor del servicio debe notificarle explícitamente cómo se usarán sus datos personales antes de que completen el registro. Así, si ese uso es para marketing y creación de perfiles, o si existe la posibilidad de que los datos estén sujetos a venta o transferencia a terceros, debe indicarse explícitamente de antemano. Los usuarios podrán decir que NO a ciertos tipos de uso y aceptar los Términos de Servicio y la Política de Privacidad del proveedor tomando una decisión bien informada previamente. Por lo tanto, esto supone una gran victoria para los usuarios: ¡más control sobre sus datos, menos invasión de su privacidad, menos spam y menos publicidad intrusiva en general!

La dura burocracia en torno a la GDPR

El diseño de la ley GDPR ha tenido como objetivo regular las actividades de las grandes compañías como Google y Facebook que procesan enormes cantidades de datos personales y los utilizan para generar ganancias significativas, pero también afecta a todas las empresas que funcionen con cualquier dato personal, ya sean pequeñas o medianas empresas. Incluso si una compañía usa datos de una manera completamente legítima, la nueva regulación requiere modificaciones específicas como reformular su política de privacidad para indicar explícitamente qué tipo de uso hay o hacer automatizaciones sobre cómo el usuario puede acceder a sus datos personales. Desafortunadamente, este esfuerzo de cumplimiento resulta costoso tanto en honorarios legales como en tiempo y desviaciones de las operaciones comerciales estándar, por lo que uno debe enfocarse en el cumplimiento de la ley GDPR como algo de altísima prioridad.

SiteGround preparándose para la GDPR

En cumplimiento con la ley GDPR, una empresa de hosting como SiteGround tiene dos responsabilidades: proteger los datos personales que recopilamos de nuestros clientes al registrarse (nombre, correo electrónico, dirección, contraseña, datos de facturación…) y los datos que nuestros clientes recopilan de sus clientes en nuestros servidores durante el uso de nuestros servicios. Tenemos que garantizar que recopilamos, almacenamos y trabajamos con los datos de nuestros clientes de manera legítima y que nuestros clientes estén informados de cómo lo hacemos exactamente. Por otro lado, tenemos que proporcionar garantías suficientes y transparencia indudable como procesador en la forma en que almacenamos los datos que nuestros clientes alojan sus webs o servicios en nuestros servidores en nombre de sus clientes.

A pesar de que SiteGround siempre ha estado actuando de acuerdo con los principios de la ley GDPR, todavía hay trabajo por hacer para poner en orden los procesos que seguimos y cumplir con la letra y el espíritu de la ley. Así que aquí hay una lista de las principales cosas que estamos haciendo y por qué son importantes.

1. Términos de servicio y actualizaciones de la política de privacidad

La ley GDPR dice que tenemos que informar a los clientes qué datos recopilamos sobre ellos y legitimar cómo lo usamos luego. La buena noticia es que recopilamos solo el conjunto mínimo de datos personales que se requieren para entregar el servicio de alojamiento. Por ejemplo, recogemos su dirección física para fines de facturación e impuestos. Recopilamos los datos de su tarjeta de crédito porque necesitamos facturarle en el momento de la compra. Recopilamos su correo electrónico porque necesitamos ponernos en contacto con el cliente con respecto a sus pedidos, el estado de los servicios, las actualizaciones de funcionalidades importantes y, cuando haya prestado su consentimiento para recibir tales comunicaciones, contactemos con él para enviarle boletines informativos y promociones. Usamos cookies porque nos ayudan a mostrar contenido relevante y anuncios a los visitantes de nuestro sitio web en función de estas interacciones. No utilizamos ninguno de los datos recopilados para crear ningún perfil u otros fines secundarios y no lo vendemos a nadie.

Según los requisitos de la ley GDPR, nuestra nueva Política de Privacidad describirá completamente por qué, cómo recopilamos y procesamos información personal, y cualquier cliente, existente o nuevo, podrá comprobar que manejamos esta información de manera cuidadosa y sensata.

2. Cláusulas contractuales estándar y certificación de escudo de privacidad UE-EE.UU. y Suiza-EE.UU.

SiteGround es un grupo de empresas, todas ellas con sede en la UE, a excepción de nuestra entidad estadounidense. En función de cómo se organicen las operaciones estándar, los datos de los clientes de la UE también pueden ser transferidos y procesados ​​por nuestra entidad de EE.UU., Por ejemplo, puedes optar por alojar tu sitio en nuestros centros de datos de EE.UU. De acuerdo con la ley GDPR, debemos asegurarnos de que nuestra entidad estadounidense ofrezca el mismo nivel de protección de los datos que la entidad de la UE, como se garantiza en la ley GDPR, aunque esté sujeto a la jurisdicción de los EE.UU. La forma en que regulamos esto es a través de cláusulas contractuales estándar*, que se incluirán en todos los contratos entre nuestras entidades para garantizar que la transferencia de datos cumpla con los requisitos de la ley GDPR.

Además, estamos trabajando en una certificación bajo el Escudo de privacidad UE-EE.UU. y Suiza-EE.UU. con el Departamento de Comercio que adherimos a los principios del escudo de privacidad con respecto a la recopilación, uso y conservación de información personal de países miembros de la Unión Europea y Suiza, respectivamente, para que podamos alojar legalmente los datos de clientes de la UE en nuestros servidores de EE.UU. cuando sea necesario. Lo impulsando como un mecanismo de cumplimiento de segundo nivel después de las cláusulas contractuales estándar.

*Las cláusulas contractuales estándar son términos estándar proporcionados por la Comisión Europea que pueden utilizarse para transferir datos fuera del Área Económica Europea de manera compatible.

3. Crear anexos a los contratos con proveedores externos

Algunos de los servicios que vendemos son proporcionados por socios externos: registradores de dominios como Tucows y Open Provider; GlobalSign para certificados SSL; Cloudflare para CDN y otros. Necesitan los datos del cliente para que puedan entregar el servicio.

Lo que nos aseguramos es que nuestros socios se adhieran a las obligaciones y responsabilidades de protección de datos de la misma manera que nosotros. Esto sucede agregando anexos a nuestros contratos con estos proveedores donde definimos sus responsabilidades según la ley GDPR.

4. Procedimientos internos y mejoras de control de acceso

Dado que hemos estado en uno de los negocios más difíciles en cuanto a seguridad  durante 14 años, todas nuestras operaciones están diseñadas siguiendo los principios de “seguridad y privacidad por defecto”. Lo que estamos haciendo en línea con la ley GDPR es auditar y mejorar los niveles de seguridad y agregar nuevos procedimientos cuando lo requiera la nueva regulación. Por ejemplo, estamos fortaleciendo nuestras verificaciones de antecedentes personales y extendiendo nuestros acuerdos de confidencialidad. Mejoramos nuestros procedimientos de gestión de seguridad y de incidentes con nuevos que están en sintonía con los requisitos de respuesta ante la violación de la ley GDPR. Otro nuevo procedimiento que hemos introducido es trabajar solo con socios que cumplan con la ley GDPR.

5. Preparar un nuevo acuerdo de procesamiento de datos

Muchos de nuestros clientes operan con los datos personales de sus clientes: reciben pedidos, recopilan correos electrónicos a través de formularios de suscripción, procesan tarjetas de crédito, etc. El cliente controla los datos y cómo esos datos se recopilan y utilizan, pero desde SiteGround los almacenamos en nuestros servidores y, por lo tanto, participamos en su procesamiento. El nuevo acuerdo de procesamiento de datos regulará nuestro procesamiento de esos datos solo con el propósito de entregar el servicio de alojamiento y resolver consultas técnicas, pero sin ninguna otra función secundaria, como siempre ha sido el caso. Al proporcionar el acuerdo a nuestros clientes, garantizamos que somos un socio de confianza, comprometidos con los principios de transparencia y que cumplimos nuestras obligaciones en virtud de la ley GDPR de manera adecuada.

6. Derecho a ser olvidado

Bajo la GDPR, cada cliente puede solicitar “ser olvidado”, lo que significa que todos sus datos deben ser borrados y nunca más utilizados, excepto en ciertas circunstancias, que pueden incluir tener que seguir procesando su información personal para cumplir con una obligación legal. Un ejemplo de dicha obligación es el requisito de conservar una copia de todas las facturas para cumplir con la legislación fiscal y financiera. Ahora estamos desarrollando una funcionalidad que permite a nuestros clientes eliminar sus perfiles después de que todos los servicios hayan sido desactivados.

7. Derecho de acceso, actualización, portabilidad y retiro del consentimiento

Nuestra nueva Política de privacidad proporcionará a nuestros clientes todos los detalles sobre cómo procesamos sus datos personales. Como clientes, también podrán ver qué datos almacenamos sobre ellos, actualizarlos y, si en un momento dado dieron su consentimiento para procesar sus datos, pueden retirar su consentimiento para ese uso. Todos nuestros clientes actualmente pueden ver su información personal en la sección “Mis datos” de su área de usuario y pueden corregirla. Nuestro uso de su información personal es necesario para cumplir con nuestras obligaciones bajo cualquier contrato con nuestros clientes. Contamos con su consentimiento solo para enviarle información comercial y ofertas promocionales, y hemos introducido nuevas preferencias que le permiten controlar qué han aceptado y qué no para el uso de sus datos. También debemos poder proporcionar a cada uno de nuestros clientes una copia de todos los datos que tenemos sobre ellos. Para esto, estamos trabajando para que cada cliente pueda exportarlo fácilmente si es necesario.

8. Contratar a un responsable de privacidad de datos

La ley GDPR dice que debemos asignar un responsable de privacidad de datos para asegurarnos de que cumplimos con las regulaciones y manejamos las quejas. Estamos asignando a un DPO (Data Privacy Officer) y también estamos formando a un equipo de personas dentro de SiteGround que podrán ayudar con las consultas y los problemas de protección de datos.

¿Donde nos encontramos ahora?

Todas las cosas anteriores y más están en camino. Algunas ya están listas, mientras que otras todavía están en progreso. Como no tenemos el hábito de hacer las cosas a medias, todavía no hemos lanzado ninguna de ellas, pero lo haremos antes del 25 de mayo de 2018.

Lanzaremos versiones actualizadas de nuestra Política de privacidad, Términos de servicio y un Acuerdo de procesamiento de datos, pero os prometemos que no os sorprendereis de las cosas que figuran en ellos, ya que ninguno de los textos cambia realmente los principios que hemos mantenido hasta ahora.