Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de GDPR > Cómo Crear Formularios Cumplidores con el GDPR
Blog - How to Create GDPR-compliant Forms

Cómo Crear Formularios Cumplidores con el GDPR

by Robert Dougherty updated diciembre 12, 2024 Cumplimiento de GDPR
Reading Time: 7 minutes

Si estás recopilando datos a través de un formulario web y realizas negocios en la UE, entonces necesitas asegurarte de que tu organización cumpla con el GDPR al enviar, recibir y almacenar la información enviada.

¿A qué organizaciones se aplica el GDPR? El GDPR se aplica a cualquier organización que haga negocios en la Unión Europea. Incluso si operas tu negocio en los Estados Unidos, si vendes bienes o servicios a clientes en la UE, entonces tu negocio debe cumplir con el GDPR.

¿Qué es el GDPR?

El Reglamento General de Protección de Datos es un conjunto de leyes de ciberseguridad y protección de datos aprobadas y gobernadas por la Unión Europea con el propósito de definir los derechos de los consumidores en relación con sus datos personales. El GDPR reclama jurisdicción sobre cualquier negocio que opere en un país de la UE, incluyendo negocios de otros países que realicen comercio digital dentro de las fronteras de la UE.

El corazón de esta legislación es la protección de datos. Desde la aprobación del GDPR, otras entidades gubernamentales han seguido el ejemplo y han aprobado legislación similar de privacidad de datos, como la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) en Canadá, la Ley de Privacidad del Consumidor de California (CCPA), y la Ley de Protección de Datos de 2018 (DPA).

Algunos de los aspectos críticos del GDPR que impactan la recopilación de datos y las operaciones comerciales incluyen:

  • Sujetos de Datos y Propiedad de Datos: El GDPR define “sujetos de datos” como consumidores individuales con datos privados que pueden ser utilizados para fines comerciales. Estos sujetos son la base de la ley, y todos los derechos a la protección y privacidad de datos se derivan de los derechos de estos individuos (en lugar de, por ejemplo, el derecho de una empresa a recopilar datos).
  • Divulgaciones y Uso Justo: Todas las empresas que operan en la UE deben, al recopilar datos para cualquier propósito, divulgar claramente la razón de su recopilación de esos datos al sujeto de datos. Además, deben justificar tanto a ese sujeto como a cualquier auditoría del GDPR que los datos que recopilan están relacionados con prácticas comerciales bien definidas alineadas con productos y servicios. Las empresas no pueden simplemente vender datos de usuarios a terceros como les parezca.
  • Seguridad: Todos los datos privados deben ser asegurados utilizando medidas modernas de ciberseguridad. Esto incluye los datos en sí mismos y cualquier dato creado como resultado de usar esa información, como registros de auditoría, direcciones IP, etc.
  • Localidad: Las empresas que recopilan información de ciudadanos de la UE no pueden transmitir esta información fuera de las fronteras de la UE para evitar desafíos jurisdiccionales. Por ejemplo, una empresa no puede tomar información y transmitirla desde servidores franceses a servidores estadounidenses para evitar sanciones bajo el GDPR.
  • Consentimiento: Todos los esfuerzos de recopilación de datos deben incluir un consentimiento claro, inequívoco y no coaccionado del sujeto de datos.

Estos enfoques pueden parecer restrictivos y complejos para individuos y empresas fuera de la UE. Sin embargo, simplemente requieren, en su mayoría, un nuevo enfoque para gestionar datos en línea. Las organizaciones deben asegurarse de que estos controles de privacidad de datos sean parte de su estrategia de gestión integrada de riesgos.

¿Qué dice el GDPR sobre el consentimiento?

El consentimiento es a menudo la parte más importante y desafiante del cumplimiento del GDPR simplemente porque exige que las empresas sean claras y específicas sobre sus prácticas comerciales.

Sin embargo, el GDPR deja claras las obligaciones de cualquier empresa en relación con el consentimiento:

  • La Necesidad de la Recopilación de Datos: Primero y ante todo, una empresa debe tener una razón justificable para recopilar datos. Es una cuestión de cumplimiento legal que las organizaciones restrinjan sus actividades de recopilación de datos a aquello que directamente concierne a sus operaciones y la provisión de servicios a los sujetos de datos.
  • Libremente Otorgado: El consentimiento no debe ser coaccionado ni obtenido bajo falsos pretextos. Aunque puedes hacer que la solicitud de datos sea un requisito previo para productos y servicios, no puedes imponer dificultades o penalizaciones a los usuarios por no proporcionar o revocar los datos proporcionados.
  • Específico y Único: No hay avisos generales para el consentimiento bajo el GDPR. Cada solicitud debe ser específica para su medio y propósito, y cada solicitud debe requerir un mecanismo de consentimiento individual. Así que, por ejemplo, si solicitas permiso para usar cookies para recopilar datos así como permiso para enviar correos electrónicos, estas deben ser solicitudes separadas.
  • Informado e Inequívoco: No importa cuántas solicitudes hagas, cada una debe proporcionar una descripción detallada de qué datos se están recopilando, por qué se recopilan, para qué propósitos y en qué medida. Esto sirve para dos propósitos: uno, permite a los sujetos de datos dar un consentimiento informado sobre la liberación de sus datos, y dos, obliga a la organización recopiladora a definir estrictamente los límites de su uso de los datos.
  • Revocación: El sujeto de datos puede, en cualquier momento, revocar el consentimiento para permisos previamente otorgados. Esto incluye el cese de correos electrónicos o la eliminación de cookies u otras formas de recopilación de datos.

Los usuarios fuera de la UE ya están comenzando a ver el impacto de estas reglas, con solicitudes cada vez más descriptivas y ubicuas para cookies y seguimiento en sitios web de comercio electrónico y noticias.

¿Qué hace que un formulario cumpla con el GDPR?

Una parte importante de mantener el cumplimiento del GDPR es asegurarse de que tus solicitudes de información se adhieran a los requisitos mencionados anteriormente. Esto, a su vez, significa tener formularios y herramientas de seguridad de datos que cumplan con esos esfuerzos de cumplimiento normativo. Las organizaciones deben asegurarse de que las políticas de gestión de riesgos de terceros incluyan políticas sobre el uso de formularios web.

En términos generales, los formularios de consentimiento y recopilación de información que cumplen con el GDPR incluyen algunas de las siguientes mejores prácticas:

  • Evitar Formularios Preseleccionados: Implementar un formulario con casillas de consentimiento ya rellenadas viola las reglas contra limitar el consentimiento informado y no coaccionado. Intentar persuadir a los consumidores para que consientan algo que de otro modo no harían puede parecer engañoso. Aún peor, podría interpretarse como una forma de aprovecharse de los consumidores que pueden no notar la casilla real.
  • Proporcionar Formularios de Consentimiento Individuales: Las organizaciones no deben crear formularios web masivos que pidan a los encuestados una larga lista de consentimientos. Para empezar, esto es una mala experiencia de usuario. Pero también viola varios aspectos del GDPR. Es importante usar diferentes formularios, altamente descriptivos, que definan claramente a qué está consintiendo el destinatario.
  • Granularizar las Opciones de Consentimiento: Cada forma individual de consentimiento debe tener su propia descripción y sus propios mecanismos para mostrar el consentimiento. Si incluyes algo como el consentimiento para correos electrónicos de marketing junto con otros tipos de recopilación de datos, entonces eso debería ser su propia sección, con sus propias casillas de verificación o interruptores. En caso de duda, hazlo granular.
  • Facilitar la Exclusión: El GDPR es un sistema de “opt-in”, lo que significa que los usuarios deben optar por participar en la recopilación de datos. Las organizaciones también deben facilitar e intuitivamente la exclusión de esa recopilación de datos o comunicaciones.
  • Registrar el Consentimiento en Sistemas Seguros: Todos los registros de consentimiento de los sujetos deben ser registrados en sistemas seguros para auditoría y privacidad. Por lo tanto, el sistema de back-end de una organización debe incluir mecanismos de seguridad para proteger los registros de consentimiento​​—empleando seguridad y cifrado que cumplan con el GDPR.

Lanza y Mantén Formularios GDPR con Kiteworks

Las organizaciones que realizan o planean realizar operaciones en la UE deben tener sistemas que cumplan con el GDPR y que puedan soportar el almacenamiento y la recopilación de datos que cumplan con las leyes de seguridad y consentimiento.

La plataforma Kiteworks ofrece una capacidad de formularios web que cumple con estos requisitos. El sistema de gestión de archivos y documentos de Kiteworks proporciona una infraestructura en la nube extensa y flexible con formularios fáciles de crear que pueden impulsar el cumplimiento del GDPR desde la interacción del usuario hasta el almacenamiento en el servidor.

Kiteworks también incluye lo siguiente:

  • Seguridad y cumplimiento: Kiteworks utiliza cifrado AES-256 para datos en reposo y TLS 1.2+ para datos en tránsito. Su dispositivo virtual reforzado, controles granulares, autenticación, otras integraciones de pila de seguridad, y registro y auditoría completos permiten a las organizaciones demostrar fácilmente y rápidamente el cumplimiento de los estándares de seguridad. Tiene informes de cumplimiento listos para usar para regulaciones y estándares de la industria y el gobierno, como HIPAA, PCI DSS, SOC 2, y el GDPR.
     

    Además, Kiteworks cuenta con certificación y cumplimiento con varios estándares que incluyen, pero no se limitan a, FedRAMP, FIPS (Estándares Federales de Procesamiento de Información), FISMA (Ley de Gestión de Seguridad de la Información Federal), CMMC (Certificación de Modelo de Madurez de Ciberseguridad), y IRAP (Programa de Evaluadores Registrados de Seguridad de la Información).

  • Registro de auditoría: Con los registros de auditoría inmutables de la plataforma Kiteworks, las organizaciones pueden confiar en que los ataques se detectan más rápido y mantienen la cadena de evidencia correcta para realizar análisis forenses. Dado que el sistema fusiona y estandariza las entradas de todos los componentes, su Syslog unificado y alertas ahorran tiempo crucial a los equipos del centro de operaciones de seguridad y ayudan a los equipos de cumplimiento a prepararse para auditorías.
  • Integración con SIEM: Kiteworks admite la integración con soluciones principales de gestión de eventos e información de seguridad (SIEM), incluyendo IBM QRadar, ArcSight, FireEye Helix, LogRhythm, y otros. También tiene el Splunk Forwarder e incluye una aplicación Splunk.
  • Visibilidad y gestión: El Panel de Control del CISO en Kiteworks ofrece a las organizaciones una visión general de su información: dónde está, quién la está accediendo, cómo se está utilizando, y si los envíos, comparticiones y transferencias de datos cumplen con las regulaciones y estándares. El Panel de Control del CISO permite a los líderes empresariales tomar decisiones informadas mientras proporciona una vista detallada del cumplimiento.
  • Entorno de nube de tenencia única: Las transferencias de archivos, el almacenamiento de archivos y el acceso de usuarios ocurren en una instancia dedicada de Kiteworks, implementada en las instalaciones, en los recursos de Infraestructura como Servicio de una organización, o alojada como una instancia privada de tenencia única por Kiteworks en la nube por el servidor de Kiteworks Cloud. Esto significa que no hay tiempo de ejecución compartido, bases de datos o repositorios compartidos, recursos compartidos, o potencial de brechas o ataques entre nubes.

Para obtener más información sobre la plataforma Kiteworks y sus capacidades de formularios web seguros, programa una demostración personalizada que se pueda adaptar a tus requisitos específicos del GDPR.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks