A què ens obliga el GDPR?
ass="uk-text-large">
El Reglament General de Protecció de Dades (GDPR) ens obliga, a nivell europeu, a configurar els nostres sistemes informàtics de manera que puguem protegir les dades dels nostres clients. La seua intenció és enfortir i unificar la protecció de dades a nivell europeu. És un reglament que entrarà en vigor el Maig del 2018.
No sé si, finalment, entrarà en funcionament en eixes dates perquè que el comerç electrònic, per exemple, no està preparat per complir amb la legislació que es vol començar a aplicar. Més quan es considera informació personal, qualsevol informació que puga identificar directa o indirectament a una persona, com ara, un nom, una foto, un correu electrònic, detalls del banc, entrades en les xarxes socials, informació mèdica o adreces IP. Però com a desenvolupadors hem de prende seriosament en compte el nou reglament.
He volgut resumir d'un article d'un expert a què ens obliga el reglament. És clar que totes aquestes obligacions afecten més a grans empreses, però els petits també hauríem de posar atenció.
Funcionalitats que hauríem d'implementar:
- Oblida'm: hem d'implementar alguna funció que permeta eliminar tota la informació de l'usuari.
- Avís a terceres parts: si hem enviat dades a tercers i hem d'esborrar les dades de l'usuari, també haurem d'avisar als tercers quan l'usuari vulga eliminar-les.
- Restringeix el processament: si al tauler d'administració poden accedir més d'un usuari, cal posar un botó al perfil personal on l'usuari puga marcar el seu perfil com a restringit.
- Exporta dades: cal afegir un botó on usuari puga exportar totes les dades que tenin d'ell.
- Permet a l'usuari editar el seu perfil: això és obvi però a vegades no ho complim.
- Caselles de consentiment: la típica casella de "Jo accepte els temes i condicions" ja no és suficient. Per a cada acció que realitze l'usuari, ha d'haver una casella on ell done el consentiment explícit.
- Tornar a reclamar el consentiment: si el consentiment de l'usuari no és clar, haurem de tornar a reclamar-ho, així que igual cal implementar una bateria de correus perquè l'usuari vaja al seu perfil a donar el consentiment explícit.
- Mostra les meues dades: similar al botó d'exportar dades. Un altre on l'usuari puga llegir totes les dades que tenim.
- Comprovació de l'edat: haurem de preguntar l'edat de l'usuari, i si és menor de 16 anys sol·licitar el permís als seus pares.
- No mantenir les dades més del necessari: si hem recollit les dades per a un propòsit en particular, una vegada acabat el propòsit, haurem d'implementar un mètode per esborrar o anonimitzar les dades.
Com veieu són unes quantes les que hem d'implementar. Ara coses que hem de fer:
- Encriptar les dades en trànsit. Les dades entre l'aplicació i la base de dades o qualsevol altre component, ha d'estar encriptada.
- Encriptar les dades que no es mouen. Obvi.
- Encriptar les còpies de seguretat. Obvi.
- Implementar anonimització. Si realitzem, per exemple, tests o posada em marxa de servidors, haurem d'implementar algun tipus d'anonimització de les dades perquè no se sàpiga de quin usuari són les dades.
- Protegir la integritat de les dades. Des de mecanismes d'autenticació a comprovació de sumes de les dades.
- Registre GPDR del procés d'activitats al sistema en fitxers que no siguen excel. Segons l'article 30, hem de mantenir un registre de tots els tipus d'activitats per a les quals usem les dades.
- Registrar l'accés a les dades personals. Qualsevol operació de lectura de les dades personals s'han de registrar per saber quí i què ha fet amb les dades.
- Registre de tots els consumidors de les API. Si implimenten diferents APIs d'accés a les dades, s'hauran de registrar també les operacions de lectura.
I per fi, les coses que NO hauríem de fer:
- No useu les dades per a propòsits que l'usuari no ha donat el consentiment explícit. Això es l'espirit del reglament, per això es fa.
- No registreu dades personals. Desfer-se de dades personals dels fitxers de registre és quasi impossible, o siga que agafeu identificados solament del registres.
- No poseu camps al registre o al perfil de l'usuari que no necessiteu. No heu de recollir només que les dades necessàries.
- No assumiu que les terceres parts compleixen amb el GDPR. Si heu d'enviar dades a tercers, assegureu-vos que els tercers compleixen perquè vosaltres sou responsables de les dades també.
- No assumiu que tenir una ISO XXX us fa complir amb el GDPR. La majoria de les indicacions que hem explicat a l'entrada no es compleixen amb eixos estàndars.
L'important de tota la regulació GPDR és que hem de ser conscients del que suposa emmagatzemar dades personals. I com a desenvolupadors, hem de procurar implementar els nostres serveis tenint en ment que hem de preservar i assegurar les dades dels nostres clients i dels nostres usuaris.
A veure com acaba tot.
Sense comentaris encara. Comenta ara