Företag kan sanktioneras av data som frågar kunder på sina webbsidor

Den spanska byrån för dataskydd (AEPD) har sanktionerat en ny resolution för ett företag av Följ inte lagen om dataskydd i processen för verifiering av användarna av dess tillämpning. En böter som till en början, steg upp till 1 000 euro; Även om tillämpningen av vissa minskningar för erkännande av överträdelsen och frivillig betalning slutade med att minska den slutliga sanktionen till 600 euro.

I detta fall begärde verksamheten En kopia av det nationella identitetsdokumentet (DNI) för att kunna utföra verifieringsprocessen som möjliggjorde åtkomst till betalningsabonnemangsversionen av ansökan. Och därmed har tillgång till ytterligare verktyg. En vanlig resurs idag inom applikationer för mobila enheter.

Som de påpekade för denna tidning i AEPD, ”Kontrollen av uppgifternas noggrannhet kan uppfyllas utan att begära en kopia av ID eller identitetsdokument, eftersom det finns Andra lika giltiga alternativ som gör att denna verifiering kan vara tillförlitlig genom identitetsverifieringssystem, Enligt de lagliga kraven ”.

Verifiering eller autentiseringsprocesser måste övervaka efterlevnaden av dataskydd

Som anges i resolutionen måste dessa förfaranden för att registrera användare eller klienter på digitala affärsplattformar anpassa sig till bestämmelserna i de allmänna dataskyddsförordningarna (GDPR).

Som förklarats från AEPD, i dessa fall, blir verksamheten ansvarig för behandlingen av data, och därför måste de följa artikel 5.1 i GDPR, där det konstateras att det Personuppgifter kommer att vara: (…) c) adekvat, relevant och begränsad till vad som är nödvändigt i förhållande till de syften som de behandlas (’dataminimering’) ”.

Enligt denna datainimeringsprincip måste tekniska och organisatoriska åtgärder tillämpas som garanterar att endast de exakta uppgifterna som krävs av verksamheten för det beslutsamma syftet diskuteras – det vill säga ingen information begärs att data om att data inte begärs De tjänar inte strikt för att målet ska uppfyllas – vilket tillåter Minska förlängningen av dess behandling, dess bevarandeperiod och dess tillgänglighet.

I resolutionen klargörs det dessutom att den sanktionerade, när presentationen av fordran innan denna byrå var känd, beställde en rapport till en extern expert, där det uttryckligen anges att insamlingen av DNI skannade kopior Som en metod för identitetsverifiering är Påträngande och överensstämmer inte med vad som finns i de lagliga föreskrifterna.

Företag måste använda så länge som möjligt metoder och informera dem

I den meningen måste företag använda mindre invasiva metoder, till exempel insamling av information manuellt, för att undvika kunna ådra sig vissa överträdelser. Och alltid med hänsyn till det All information som identifierar eller kan göra det möjligt för tredje parter att identifiera kunder är ett personligt faktum; såsom namn och efternamn, ID, e -postmeddelandet eller IP -adressen.

För att säkerställa att reglerna följer om de begär data från sina kunder, konsumenter eller patienter De måste informera:

Vill du vara uppdaterad med nyheter som detta?

Prenumerera på vår nyhetsbulletin för att bli informerad om allt som påverkar ditt företag.

  • De syftet med dess användning, Vad kommer de att användas för.
  • Den behandling De kommer att ge dem.
  • Ja En profil kommer att förberedas från din personliga information.
  • Om från den personliga profilen Beslut kommer sedan att fattas De påverkar dem.
  • Som Utöva dina rättigheter: Tillgång, rättelse, undertryckning, opposition, begränsning av behandling och portabilitet.
  • Den tid de ska Håll dessa data.

Som ett undantag kan personuppgifter vid vissa tillfällen behandlas utan användarnas samtycke, i situationer där deras viktiga intressen är skyddade ingår uppgifterna i en källa som är tillgänglig för allmänheten och när det finns en lag som gör det möjligt för en enhet att utföra detta förfarande.

Principer som måste vara ansvariga för behandlingen av webbplatser och appar

Den allmänna dataskyddsförordningen innehåller också denna uppsättning principer som de ansvariga och ansvariga för behandlingen måste ta hänsyn till när databehandling:

  • Principen om ”ledande, öppenhet och lojalitet”. Det vill säga uppgifterna måste diskuteras lagliga, lojala och öppna för den intresserade parten.
  • ”Syfte” -principen. Inkluderar två skyldigheter. Att uppgifterna behandlas med ett eller flera specifika, uttryckliga och legitima syften och som behandlas efter oförenliga med de syften som de samlades in för.
  • Principen om ”dataminimering”tidigare detaljerad.
  • ”Noggrannhet” -principen. Det tvingar att ha rimliga åtgärder så att uppgifterna ”uppdateras, de undertrycks eller modifieras utan dröjsmål när de är felaktiga med avseende på de syften som de behandlas för.”
  • Principen om ”Begränsning av bevarandeperioden”. Bevarandet av uppgifterna bör inte uthärda utöver det ögonblick då slutet för vilket de samlades in uppnås. När slutet har uppnåtts måste de tas bort, blockeras eller, misslyckas med det, anonymiserat.
  • ”Säkerhet” -princip. De ansvariga måste sätta de tekniska och organisatoriska åtgärder som krävs för att garantera dataens integritet, tillgänglighet och konfidentialitet.
  • Principen om ”aktivt ansvar”. Det tvingar de som är ansvariga för att upprätthålla en ”due diligence” om behandlingen av uppgifterna. Det vill säga för att skydda och garantera de rättigheter och friheter för människorna att dessa personuppgifter behandlas genom analys av relevanta risker och förfaranden enligt GDPR.
Freja
Freja

Jag heter Freja och är redaktör på Dagoja, där jag specialiserar mig på sysselsättningsnyheter och innovation. Med tio års erfarenhet inom journalistik erbjuder jag ingående analyser av arbetsmarknadstrender och påverkan av framväxande teknologier. Passionerad av professionell empowerment, strävar jag efter att ge strategisk information för att hjälpa våra läsare att lyckas i sina karriärer.