Auditoria i adaptació RGPD

Assegura't que la teva web compleix amb la normativa.

Què és RGPD i la importànica que suposa per la teva web

El Reglament General de Protecció de Dades estandarditza la Llei de Protecció de Dades a tots els vint-i-vuit països de la UE i imposa noves regles estrictes sobre el control i el tractament d’informació identificable. Tots els llocs web que recullen dades de ciutadans de la UE han de complir aquests requisits de GDPR.

L’incompliment pot comportar multes de fins a 20 milions d’euros o facturació global del 4%, o reclamacions de compensació per danys ocasionats. També podria perjudicar la teva reputació i perdre la confiança dels teus clients. Així doncs, si la teva web es troba dins de la Unió Europea, cal que revisis aquest aspecte amb el teu gestor legal.

Per part nostra hem abordat aquest tema fent un recull dels 9 punts clau que cal tenir en compte, i hem desenvolupat una serie d’accions tècniques per apropar-nos al màxim al compliment de la normativa RGPD.

BASES LEGALS

Aquestes son les bases legals sobre les que ens hem basat per implementar aquest servei

Art. 30 (…) The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data (…)

Recital 65 (…) The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay (…)

Art. 4 (…)Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data. (…)

Recital 113 (…) The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued. (…)

Recital 32 (…)2. If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent. (…)

Art 4 (…)1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay. (…)

Recital 29 (…)The protection of the rights and freedoms of natural persons with regard to the processing of personal data require that appropriate technical and organisational measures be taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Such measures could consist, inter alia, of minimising the processing of personal data, pseudonymising personal data as soon as possible (..)

Art. 20 (…)The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided (…)

Art. 25 (…)Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.(..)

ELS 9 PUNTS CLAUS

La nostra base legal per implementar aquest servei a la teva web està basada en els 9 punts legals citats anteriorment

A continuació traduïm a un llenguatge més fàcil d'entendre en què consisteixen les implementacions que durem a terme

050-privacy

1. Accés a les dades

Creació d’un formulari específic per a que els usuaris puguin accedir a les seves dades i també que es guardin les peticions que realitzen

059-restriction

2. Dret a ser oblidat

Creació d’un formulari per facililitar un canal de sol·licituds per a que els usuaris puguin puguin eliminar les seves dades, aquestes sol·licituds queden registrades al sistema

023-decision making

3. Consentiment de Cookies

Implementar que els usuaris tinguin la opció de bloquejar les cookies abans d’utilitzar-les i que pugui donar el consentiment explícit, es guarden registres dels permisos que donen

008-code of conduct

4. Termes i Condicions

Crear les pàgines d’Avís Legal, Política de Privacitat, Condicions d’Ús…per comunicar clarament a l’usuari qui som, quines dades utilitzem/desem d’ells i amb quina finalitat ja siguin processos nostres o de tercers

010-consent

5. Consentiment de serveis

En el cas que s’utilitzin serveis de tercers, cal integrar-ho per a que quedi clarament comunicat a l’usuari final, eines amb les que integrem amb tercers son; WooCommerce, Contact Form 7 i Gravity Forms

009-complaint

6. Notificació en cas de bretxa

Creació de formulari amb el que es pugui enviar un correu electrònic en cas de bretxa de seguretat a tots els usuaris registrats a la web per comunicar-los la bretxa i donar-los la opció de canviar la contrasenya o prendre les mesures pertinents

006-pixelated

7. Pseudonomització

Emmegatzemar la informació de forma encriptada per a que les dades siguin segures fins i tot en cas de bretxa de seguretat

022-data transfer

8. Portabilitat de Dades

Crear un formulari per a que els usuaris puguin fer una sol·licitud de portabilitat de dades al qual se li haurà de poder entregar un arxiu en format llegible i estandar tècnicament per a que pugui tenir el dret a la portabilitat de dades

058-businessman

Privacitat per disseny

Gestiona, xifra i esborra totes les dades dels usuaris des del panell de control

Què inclou el servei d'auditoria i adaptació RGPD web

Auditoria i anàlisis de cookies

Realitzem un escaner prèvi per analitzar i identifiques les cookies amb les que treballa la teva web per a que puguis informar als teus usuaris amb quines cookies estàs treballant i donar-li el poder a l'usuari de carregar-les o no.

Crear i maquetar les pàgines legals

Creació de les pàgines d'Avís Legal, Política de Privacitat, Política de Cookies i si tens e-commerce Condicions d'ús i devolucions (els textos d'aquestes pàgines te'ls haurà de facilitar el teu gestor legal, nosaltres ens encarregarem de crear les pàgines i maquetar-les)

Formulari d'Accés a les Dades

Crearem una pàgina específica des d'on els teus usuaris podràn accedir i fer ús dels seus drets per a la rectificació de dades, per a la portabilitat i per al dret a l'oblit.

Consentiment de Cookies

Configurarem una caixa al peu de pàgina des de la que es notificarà a l'usuari que s'estàn utilitzant cookies, li donarem la opció d'acceptar-ho o configurar les cookies que vol que es carreguin. Farem que l'usuari tingui el poder sobre les cookies que es carreguen i les que no tal com indica l'Art. 4.

Formulari de Portabilitat de Dades

Habilitarem la opció a través d'un formulari per a que els teus usuaris de WordPress, WooCommerce...puguin exportar les seves dades amb un format portable a altres plataformes tal i com indica l'Art. 20

Quin és el cost?

240€
IVA no inclòs

Demana'ns l'auditoria i la implementació RGPD per la teva web aquí

    Adjunta document legal Avís Legal en Word (.doc, .docx 5mb)

    Adjunta document legal Política de Privacitat en Word (.doc, .docx 5mb)

    Adjunta document legal Política de Cookies en Word (.doc, .docx 5mb)

    Adjunta document legal Condicions d'Ús i Devolcions en Word si tens E-commerce(.doc, .docx 5mb)

    Les preguntes més freqüents

    Aquí les preguntes més freqüents, si no trobes la teva pregunta si us plau contacta'ns

    01. Qui ha de redactar els textos legals?

    Els textos legals els ha de redactar un gestor legal.

    02. Perquè és important que sigui el meu gestor legal qui redacti els textos?

    La normativa RGPD no només aplica a la teva web, sinó a la teva empresa per a qualsevol procès en el que recullis informació de qualsevol ciutadà de la UE. Els textos han de tenir validesa legal sobre la teva empresa en particular i per tant ha de ser un profesional de l'àmbit legal qui els redacti.

    03. El meu gestor legal no sap com està feta la web?

    Cert, ell no sabrà quines son totes les cookies que s'utilitzen però nosaltres si, per això ha de deixar un espai dins dels textos on nosaltres poguem incrustar la taula dinàmica de cookies.

    04. Puc contractar aquest servei si no tinc manteniment amb vosaltres?

    No. Molts dels aspectes d'aquest servei passen per a que la teva web tingui WordPress i els seus components actualitzats a la última versió per tal de poder executar correctament totes les accions que hem de realitzar. Les webs que no estiguin actualitzades no estan adaptades per poder complir amb la RGPD.