Privacidad para agencias y WordPress desarrolladores

Nils Möllers Actualizado el 21.10.2020
5 Min.
Protección de datos para agencias
Actualizado por última vez el 21.10.2020

El desarrollo del mercado digital no es un tema nuevo para las empresas y los trabajadores autónomos. Lamentablemente, no puede decirse lo mismo de la protección de datos de los organismos. ¿Qué deben tener en cuenta los organismos y los trabajadores independientes en lo que respecta a la legislación sobre protección de datos? ¿Y qué hay del WordPress procesamiento de pedidos? Una visión general.

El reglamento básico de protección de datos (GDPR) ha estado en vigor durante casi 2 años - también emplea a todos los que WordPress trabajan en el entorno de . Sin embargo, el tema de la protección de datos existe desde 1971, y hay una tensión creciente entre la protección de datos y la digitalización responsable de los procesos comerciales. Por lo tanto, es aún más importante conocer las reglas centrales.

Nota: Este artículo básico no sustituye al asesoramiento jurídico. Para comprobar las tus medidas y tus el sitio web, siempre debe ponerse en contacto con un bufete de abogados especializado en el derecho en línea y la protección de datos.

¿Cuándo debe una agencia nombrar a un oficial de protección de datos?

Ha habido discusiones acaloradas aquí en el pasado. Sin embargo, ahora podemos establecer los siguientes puntos clave para españoleslas agencias:

  1. El Organismo emplea a más de 20 funcionarios que procesan datos personales
  2. El Organismo llevará a cabo operaciones de procesamiento Evaluación del impacto de la protección de datos deben ser evaluados
  3. La agencia trabaja en el campo de la investigación de mercado o de opinión 
  4. El Organismo procesará en particular datos personales sensibles

Con el deseo de reducir la burocracia, los grupos parlamentarios de la CDU/CSU introdujeron la exigencia en la consulta legislativa de aumentar el límite de la obligación de nombrar a un responsable de la protección de datos de la empresa (artículo 38 de la BDSG) a 50 personas. Finalmente, a mediados de 2019 se llegó a un acuerdo sobre un límite de 20 empleados.

La cuestión fundamental aquí es si el aumento del límite fue sensato, ya que la protección de datos debe ser observada por todas las empresas. Incluso una compañía de una persona.

¿Qué debe observarse en cuanto a la ley de protección de datos para los programas informáticos de las agencias?

Muchas agencias trabajan con software para agencias, sistemas de tickets o gestión de flujos de trabajo para automatizar los procesos y mantener una visión general. Normalmente, estas soluciones de software procesan datos personales de los clientes y otros socios. Por lo tanto, las normas de protección de datos también se aplican aquí.

En principio, los organismos deben asegurarse de que exista un nivel de protección adecuado para los productos de software importados. Además de un concepto de autorización y supresión, también medidas técnico-organizativas (TOM) de conformidad con el artículo 32 GDPR para utilizar el software de manera compatible con la protección de datos.

La adecuación económica debe tenerse en cuenta. Por ejemplo, los TOM de un organismo pequeño no pueden, por razones económicas, cumplir las mismas normas en todos los ámbitos que las medidas de una gran empresa.

En la mayoría de los casos, este software es un servicio de nube. Estos son, por ejemplo:

  • monday.com
  • El paquete de Google o
  • Servicio de atención al cliente del Jira Atlassiano

por nombrar sólo algunos. Es preciso concertar un contrato con estos proveedores, ya que los datos personales se procesan con los instrumentos de acuerdo con las instrucciones.

Google GDPR
Google proporciona sus propios recursos para sus servicios en la nube

Al concluir la tramitación de un pedido (antes del inicio de la cooperación), los organismos o promotores deben medidas técnicas y de organización del servicio.

El contrato de procesamiento de pedidos también debería contener, entre otras cosas, los siguientes temas: asistencia para hacer valer los derechos de los interesados, las normas de calidad, los subcontratistas, si los hubiera.

¿Es el WordPress desarrollo un procesamiento de pedidos?

Muchos organismos se desesperan al evaluar si están procesando datos como procesador en nombre de un cliente o como parte (auto)responsable. En realidad, la evaluación es bastante simple: el responsable del tratamiento es la persona que determina los fines y los medios del tratamiento de los datos personales (artículo 4 7GDPR )). Por otra parte, un organismo actúa como procesador en virtud del párrafo 8 GDPR del artículo 4 cuando procesa datos personales en nombre del mandante.

Pero el problema es que las agencias y los autónomos suelen ofrecer servicios integrados. En tales casos, no siempre es posible comprobar muy claramente si no hay una mezcla de responsabilidades. La opinión predominante de los funcionarios de protección de datos es que, en caso de duda, se completa la tramitación de la orden. Por cierto, esto pone a la agencia en una mejor posición en términos de responsabilidad que sin un contrato para el procesamiento por encargo.

¿Qué debería considerar al WordPress hospedar?

El alojamiento web también forma parte de la protección de datos de los organismos. Además de la disponibilidad de un Certificado SSL es de gran importancia que el alojamiento se lleve a cabo en un centro de datos certificado. Por ejemplo, ISO/EN 27001, porque aquí se aplica el mismo requisito del artículo 32 GDPR: las agencias y los promotores deben garantizar la disponibilidad, integridad y confidencialidad mediante un nivel de seguridad adecuado.

Además de las medidas preventivas, una adecuada Estrategia de respaldo puede ser implementado. En la práctica, las copias de seguridad incrementales diarias y las copias de seguridad completas semanales, que se almacenan hasta 90 días, han demostrado su eficacia.

Estrategia de respaldo
Las copias de seguridad automáticas aumentan la seguridad

Sin embargo, las copias de seguridad no deben almacenarse en un solo lugar. Por regla general, los centros de datos ofrecen la posibilidad de acceder a varios compartimentos de fuego.

¿Qué se debe cumplir para la protección de WordPress sitio datos?

En principio, los sitios web deben cumplir los principios de la normativa básica de protección de datos. Por lo tanto, se aplican:

  • El principio de minimización de datos
  • El respeto de las bases legales para el tratamiento de los datos personales
  • Lo mismo se aplica al cumplimiento de un propósito razonable del procesamiento

Tradicionalmente, todo sitio web debería tener una declaración de privacidad completa y precisa para cumplir con los requisitos de información.

WordPress  Protección de datos sitio
WordPress Definir la sitio política de privacidad en

Además, deben establecerse las bases jurídicas de las diversas operaciones de procesamiento, especialmente en lo que respecta a la utilización de cookies de terceros. Este requisito puede ser implementado muy fácilmente con un Administrador de Consentimiento de Galletas. A este respecto, deben considerarse los siguientes aspectosWordPress :

Asimismo, para ciertas operaciones de procesamiento (registros, formularios de contacto, etc.) Declaraciones de consentimiento que cumplen las condiciones establecidas en el artículo 7GDPR .

WordPress  Plugin Gestión
Práctico: Plugins y actualizar Themes de forma centralizada en el backend de alojamiento

Protección de datos para los organismos: ¿Cuándo se necesita el consentimiento?

En principio, la normativa básica de protección de datos debe entenderse como una prohibición sujeta a autorización. Esto significa que en primer lugar no se pueden procesar datos personales en absoluto. Sin embargo, como a menudo hay que procesar datos personales, el legislador europeo ha definido los llamados delitos basados en el permiso - en Artículo 6, primer párrafo iluminado. de la a a la f GDPR .

GDPR  Texto
El texto del GDPR en eur-lex.europa.eu

El consentimiento es siempre necesario si uno de los delitos permitidos en los apartados b a f GDPR del párrafo 1 del artículo 6 no es pertinente. Dicho consentimiento debe cumplir las condiciones de Artículo 7 cumplir. Entre otras cosas, especifica:

  • "Cuando el tratamiento se basa en el consentimiento, el responsable del tratamiento debe poder demostrar que el interesado ha consentido el tratamiento de sus datos personales
  • "La persona interesada tiene derecho a retirar su consentimiento en cualquier momento. La revocación del consentimiento no afectará a la legalidad del tratamiento realizado sobre la base del consentimiento hasta que sea revocado. Se informará al interesado antes de dar su consentimiento. La revocación del consentimiento será tan simple como la concesión del mismo".

Así pues, el consentimiento debe ser siempre informado, transparente, verificable, voluntario y revocable.

Además hay un llamado Considerando 32... a GDPR la . los ejemplos que se dan en él tienen por objeto facilitar la redacción de un consentimiento para la práctica comercial. Sin embargo, las soluciones desarrolladas internamente - así como las WordPress Plugins soluciones asociadas - deben ser comprobadas legalmente con regularidad para su admisibilidad, por ejemplo, por un bufete de abogados adecuado.

Preguntas sobre la protección de datos para los organismos

¿Tiene preguntas sobre la protección de datos para agencias y autónomos? Por favor, use la función de comentarios. ¿Quiere estar informado sobre los nuevos artículos sobre el tema del derecho en línea? Entonces síguenos en Twitter, Facebook o sobre nuestro Boletín de noticias.

Nils Möllers es el fundador y director general de Keyed GmbH de la región de Münsterland - como oficial certificado de protección de datos y experto en protección de datos en marketing, en grupos corporativos y en sistemas de franquicia. Nils Möllers también asesora a las empresas en el área de seguridad informática, acompañando a la ISO27001.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

tu La dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con * marcado.