Privacidad para agencias y WordPress desarrolladores

Nils Möllers Última actualización 21.10.2020
5 min.
Protección de datos para agencias
Última actualización 21.10.2020

El desarrollo del mercado digital no es un tema nuevo para las empresas y los trabajadores autónomos. Lamentablemente, no puede decirse lo mismo de la protección de datos de los organismos. ¿Qué deben tener en cuenta los organismos y los trabajadores independientes en lo que respecta a la legislación sobre protección de datos? ¿Y qué hay del WordPress procesamiento de pedidos? Una visión general.

El reglamento básico de protección de datos (GDPR) ha estado en vigor durante casi 2 años - también emplea a todos los que WordPress trabajan en el entorno de . Sin embargo, el tema de la protección de datos existe desde 1971, y hay una tensión creciente entre la protección de datos y la digitalización responsable de los procesos comerciales. Por lo tanto, es aún más importante conocer las reglas centrales.

Nota: Este artículo básico no sustituye al asesoramiento jurídico. Para revisar las medidas de tus y el sitio web tus , siempre debe ponerse en contacto con un bufete profesional de derecho en línea y protección de datos.

¿Cuándo debe una agencia nombrar a un responsable de la protección de datos?

En el pasado ha habido acaloradas discusiones sobre este tema. Sin embargo, ahora podemos afirmar los siguientes puntos clave para las agencias de españoles :

  1. La Agencia emplea a más de 20 personas que tratan datos personales.
  2. La Agencia lleva a cabo operaciones de tratamiento que deben ser evaluadas mediante una evaluación de impacto de la protección de datos.
  3. La agencia trabaja en el ámbito de los estudios de mercado o de opinión 
  4. La Agencia tratará los datos personalesque sean especialmente sensibles

Con el deseo de reducir la burocracia, los grupos parlamentarios de la CDU/CSU han exigido que se aumente a 50 personas el límite de la obligación de nombramiento de un responsable de la protección de datos de la empresa (artículo 38 de la BDSG). Al final, se llegó a un acuerdo a mediados de 2019 sobre un límite de 20 empleados.

En el fondo, aquí se plantea la cuestión de si el aumento del límite era sensato, ya que la protección de datos debe ser cumplida por todas las empresas. Incluso por una empresa de una sola persona.

¿Qué hay que tener en cuenta con el software de las agencias en términos de protección de datos?

Muchas agencias trabajan con software de agencia, sistemas de tickets o gestión de flujos de trabajo para automatizar los procesos y mantener una visión general. Normalmente, en estas soluciones de software se procesan datos personales de clientes y otros socios. Por lo tanto, las normas de protección de datos también se aplican aquí.

En principio, las agencias deben garantizar la existencia de un nivel de protección adecuado para los productos de software introducidos. Además de un concepto de autorización y supresión, deben cumplirse otras medidas técnico-organizativas (TOM) de acuerdo con el artículo 32 del GDPR para utilizar el software respectivo de forma compatible con la protección de datos.

Hay que tener en cuenta la idoneidad económica. Por ejemplo, el TOM de una pequeña agencia no puede cumplir las mismas normas en todos los ámbitos que las medidas de una gran empresa debido a aspectos económicos.

En la mayoría de los casos, este software es un servicio en la nube. Estos son, por ejemplo:

  • monday.com.
  • Google Suite o
  • Servicio de atención al cliente de Atlassian Jira

por nombrar sólo algunos. Definitivamente, debe celebrarse un acuerdo de procesamiento contractual con estos proveedores, ya que las herramientas procesan los datos personales de acuerdo con las instrucciones.

Google GDPR
Google proporciona sus propios recursos para sus servicios en la nube

En el marco de la celebración de un contrato de tramitación (antes del inicio de la cooperación) las agencias o promotores deben comprobar estas medidas técnicas y organizativas del servicio.

El contrato de tramitación de pedidos también debe contener, entre otros, los siguientes aspectos: Servicios de apoyo en caso de que se hagan valer los derechos de los interesados, normas de calidad, existencia de subcontratistas, en su caso.

¿Es el WordPress desarrollo un procesamiento de pedidos?

Muchos organismos se desesperan al evaluar si tratan los datos como encargados del tratamiento o como (auto)responsables del mismo. En realidad, la evaluación es bastante sencilla: el responsable del tratamiento es quien decide los fines y los medios del tratamiento de los datos personales (artículo 4, apartado 7, del RGPD). Una agencia, por otro lado, actúa como un procesador de acuerdo con el artículo 4(8) del GDPR si procesa datos personales en nombre del cliente.

Pero el problema es que las agencias y también los autónomos suelen ofrecer servicios integrales. En este caso, no siempre es posible comprobar claramente si existe una mezcla de responsabilidades. Actualmente, la opinión predominante de los responsables de la protección de datos es que, en caso de duda, se concluya el tratamiento encargado. Por cierto, esto coloca a la agencia en una mejor posición en términos de responsabilidad que sin un contrato de tramitación por encargo.

¿Qué debería considerar al WordPress hospedar?

El tema de la protección de datos para las agencias también incluye el alojamiento web. Además de la disponibilidad de un certificado SSL, es muy importante que Hosting esté alojado en un centro de datos certificado. Por ejemplo, según la norma ISO/EN 27001, ya que aquí se aplica el mismo requisito del artículo 32 de la DSGVO: Las agencias y los desarrolladores deben garantizar la disponibilidad, la integridad y la confidencialidad mediante un nivel de seguridad adecuado.

Además de las medidas preventivas, también se debe aplicar una estrategia de copia de seguridad adecuada. En la práctica, las copias de seguridad incrementales diarias y las completas semanales, que se almacenan hasta 90 días, han dado buenos resultados.

estrategia de respaldo
Las copias de seguridad automáticas aumentan la seguridad

No obstante, las copias de seguridad no deben almacenarse en un solo lugar. Por regla general, los centros de datos ofrecen la posibilidad de recurrir a varios compartimentos de incendio.

¿Qué se debe cumplir para la protección de WordPress sitio datos?

En principio, los sitios web deben cumplir los principios del Reglamento General de Protección de Datos. Por lo tanto, aplíquese:

  • El principio de minimización de datos
  • El cumplimiento de las bases legales para el tratamiento de datos personales
  • Asimismo, el cumplimiento de una finalidad adecuada del tratamiento

Clásicamente, todo sitio web debe tener una política de privacidad completa y correcta para cumplir con los requisitos de información.

WordPress  Protección de datos sitio
Establezca el sitio para la política de privacidad en WordPress

Además, debe crearse la base legal para las distintas operaciones de tratamiento, especialmente en lo que respecta al uso de cookies de terceros. Este requisito puede implementarse muy fácilmente con un gestor de consentimiento de cookies. En cuanto a WordPress , hay que tener en cuenta los siguientes aspectos:

Asimismo, para determinadas operaciones de tratamiento (inscripciones, formularios de contacto, etc.), deben redactarse declaraciones de consentimiento que cumplan las condiciones establecidas en el artículo 7 del RGPD.

WordPress  Plugin  Gestión
Práctico: actualizar Plugins y Themes de forma centralizada en el backend Hosting

Protección de datos para agencias: ¿cuándo se necesita el consentimiento?

Básicamente, el Reglamento General de Protección de Datos debe entenderse como una prohibición con permiso. Esto significa que, en primer lugar, no se pueden tratar datos personales. Sin embargo, dado que los datos personales deben tratarse a menudo, el legislador europeo ha definido los llamados permisos, en las letras a) a f) del apartado 1 del artículo 6 del RGPD.

Texto DSGVO
El texto del RGPD en eur-lex.europa.eu

El consentimiento es siempre necesario si uno de los elementos permisivos de conformidad con el artículo 6 (1) (b) a (f) del GDPR no es relevante. Esta autorización debe cumplir las condiciones establecidas en el artículo 7. Entre otras cosas, afirma:

  • "Cuando el tratamiento se basa en el consentimiento, el responsable del tratamiento debe poder demostrar que el interesado ha consentido el tratamiento de sus datos personales"
  • "El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La revocación del consentimiento no afectará a la legalidad del tratamiento realizado sobre la base del consentimiento hasta la revocación. El interesado será informado de ello antes de dar su consentimiento. La retirada del consentimiento será tan sencilla como darlo".

Así, el consentimiento debe ser siempre informado, transparente, verificable, voluntario y revocable.

Además, existe el llamado considerando 32 del RGPD. Los ejemplos que se mencionan pretenden facilitar el diseño del consentimiento para la práctica empresarial. Sin embargo, las soluciones desarrolladas internamente -así como las asociadas a WordPress Plugins - deben ser revisadas regularmente para comprobar su admisibilidad legal, por ejemplo, por un bufete de abogados adecuado.

Preguntas sobre la protección de datos para las agencias

¿Tiene preguntas sobre la protección de datos para agencias y autónomos? No dude en utilizar la función de comentarios. ¿Quiere estar informado de los nuevos artículos sobre el tema del derecho en línea? Entonces síganos en Twitter, Facebook o a través de nuestro boletín.

Nils Möllers es el fundador y director general de Keyed GmbH de Münsterland, como responsable certificado de protección de datos y experto en protección de datos en marketing, en grupos empresariales y en sistemas de franquicia. Nils Möllers también asesora a las empresas en el ámbito de la seguridad informática, acompañando a la ISO27001.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

La dirección de correo electrónicotu no se publicará. Los campos obligatorios están marcados con *.