Mi usuario quiere irse, la gestión de derechos

El nuevo reglamento trae consigo una ampliación de los derechos de los usuarios, aparte de la inclusión de los derechos de portabilidad y limitación.

Cuando un usuario solicita ejercer su derecho  de acceso estás en la obligación de informarle todos los datos que manejas, con que finalidad los usas y quienes tienen acceso a ellos, así como el plazo que los conservarás y, en el caso de producirse transferencias de datos internacionales, las garantías de seguridad correspondientes a esas transferencias.

Cuando un usuario solicita ejercer su derecho a la portabilidad de datos tienes que entregarle los datos en un formato de uso general (por ejemplo .CSV)

Cuando un usuario solicita ejercer el derecho de supresión  tienes que eliminar los datos pero siempre teniendo en cuenta algunas limitaciones.  El derecho de supresión, también llamado derecho al olvido,  tiene un tratamiento especial debido a que hay que conjugarlo con otros derechos y obligaciones de las partes, por ejemplo cuando hay una obligación legal o contractual con el encargado de tratamiento que impida ejercerlo o cuando entre en juego el derecho de libertad de expresión e información.

En el caso de tus bases de datos lo tienes fácil, según las circunstancias debes bloquear o eliminar los datos, pero en el caso de que esos datos hubiesen sido compartidos con terceros, por ejemplo una red social o indexados por Google es tu responsabilidad notificarles que has hecho la supresión y comunicárselo al usuario, así que se prudente y valora las consecuencias antes de publicar algo en una red social. Finalmente recuerda que para eso están los Términos y Condiciones de Uso, donde tienes que informar a tus usuarios claramente de estas circunstancias.

Cuando un usuario solicita ejercer el derecho de limitación  tienes la obligación de dar una respuesta

El ejercicio de estos derechos tiene como añadido la obligación de comunicar los cambios al interesado y si hay terceros a quienes hayas cedido los datos notificarles y hacérselo saber también al interesado. Respecto a las notificaciones a terceros el reglamento siempre pone como excepción los casos en los que sea imposible o requiera un esfuerzo desproporcionado.

¿Y como implemento el derecho de acceso?

Para cumplir con el derecho de acceso debes enviarle al usuario un reporte con los datos de su cuenta de usuario, así como de todas sus actividades registradas en la web.

Captura de pantalla del plugin GDPR Persnal Data Reports en el repositorio de WordPress

GDPR Personal Data Reports es un plugin que cumple perfectamente con este apartado del reglamento, pero cuidado con la configuración porque incluye la opción de permitir al usuario anonimizar su cuenta, si manejas datos que tengas que conservar por un imperativo legal no puedes activarla (los pedidos de WooCommerce usan los datos de la cuenta).

Captura de pantalla de las opciones generales de configuracion
Opciones generales de configuración
Captura de pantalla de las opciones de configuración de campos de usuario
Opciones de configuración de campos de usurio

Sin embargo, esta característica la podemos aprovechar de otra forma. El borrado automático de datos por parte del usuario es una solución radical e irreversible que puede deberse a un impulso del momentáneo; ¿por qué no pedir una segunda oportunidad?.

El plugin genera dos shortcode, uno para la solicitud de datos gdpr-request-form y otro para el borrado gdpr-forget-me-request-form, de forma que puedes convertir la página de borrado en una página de solicitud e incluir el shortcode en el email de respuesta, donde puedes argumentar una reconsideración e inclusive solicitar el motivo en una encuesta anónima.

Después de un borrado de datos, la única constancia que queda del paso del usuario por la web es en el registro de logs del plugin, donde se eliminan las todos los registros del usuario, excepto las solicitudes de borrado.

Captura de pantalla del registro de peticiones del plugin
Registro de peticiones del plugin

Como puedes ver la captura de pantalla, las peticiones entre el ID3 y el 8 fueron borradas, correspondían todas al usuario de la ID 8 que solicitó el borrado, por lo que las peticiones anteriores (todas de reporte) fueron eliminadas de la base de datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

  Acepto la Política de Privacidad

INFORMACIÓN BÁSICA DE PROTECCIÓN DE DATOS

  • RESPONSABLE: José Luis Losada
  • FINALIDAD: Gestión de comentarios y valoraciones
  • LEGITIMACIÓN: Tu consentimiento
  • DESTINATARIOS: se almacenarán en los servidores de SiteGround y no se comunicarán a terceros salvo por obligación legal.
  • TUS DERECHOS: Acceso, rectificación, supresión y portabilidad.
Amplía la información en nuestra Política de Privacidad.