GDPR pentru aplicațiile software

21 mai 2018 21 mai 2018

De aproape 2 ani, la nivel european, se vorbește despre adoptarea normelor cu privire la protecția și utilizarea datelor personale (GDPR), dar doar în ultimele 12 luni în România au început și discuțiile serioase referitoare la etapele și activitățile concrete pe care o companie trebuie să le îndeplinească.

GDPR pentru aplicațiile software

Prin modelul său de business, Softlead a reușit în aceste ultime 12 luni să observe comportamentul și percepția a două tipare de public pe care le deservește: vendorii și dezvoltatorii de soluții software versus companiile cu rol de achizitor. În cazul ultimei categorii, vorbim despre industrii distincte, unde impactul utilizării datelor personale este privit în mod distinct, iar de cele mai multe ori acesta este oarecum direct proporțional cu numărul canalelor de promovare/vânzare folosite în procesele de business.

Care sunt cele mai importante aspect de care trebuie să țină cont vendorii aplicațiilor software?                                                           

  1. Primul pas în contextul normării GDPR este dat de conștientizarea volumelor de date cu aspect personal folosite prin intermediul aplicațiilor dezvoltate sau implementate: în ce măsură este nevoie de toate, cum sunt colectate, cum pot fi folosite în mod optim?
  2. Criptarea datelor personale. Aceasta nu este o măsură impusă în mod obligatoriu, dar, așa cum ar afirma orice specialist în securitate cibernetică, încălcare a securității datelor cu caracter personal este inevitabilă.

 

tresorit                                                                                         

Sursa: tresorit.com

  1. Trecerea la protocoalele HTTPs este esențială

Prin intermediul formularelor cu rol de colectare a datelor, câmpurile ce solicită date personale, precum și cele cu rol de stocare a informațiilor introduse ca text simplu reprezintă puncte vulnerabile. HTTPS este versiunea sigură a protocoalelor de comunicare deja cunoscute, HTTP, care criptează datele trimise de către un client spre servere, folosind protocoalele SSL/TLS, valabile cu ajutorul certificatelor SSL.

Întrucât am menționat câmpurile de colectare a datelor personale, este esențial ca acestea să fie însoțite de câmpuri (nebifate automat), prin care utilizatorul să fie informat cu privire la scopul cererii acestor date și perioada în care ele vor fi stocate.

  1. Implementarea formularelor de tip opt-in, organizate pe mai multe niveluri, ce dețin caracter facultativ și securizat

Câmpurile și formularele ce colectează sau clasifică datele trebuie să fie medii securizate, dedicate schimbului de informații, oferind un climat de încredere între părțile direct interesate. De cele mai multe ori, acestea apar în tool-urile sau aplicațiile folosite în campanii și strategii de marketing (ex.: MailChimp, pentru crearea bazelor de date de abonați la Newsletter).

Fiecare dintre câmpurile existente trebuie să explice motivul colectării datelor, prin solicitarea explicită a consimțământului utilizatorului pentru acest obiectiv. De asemenea, dacă datele sunt preluate printr-un singur canal, dar urmează a fi folosite pentru acțiuni de marketing/sales într-o abordare integrată (multichannel), atunci fiecare canal în parte va avea propria căsuță în care se va bifa opțiunea.

  1. Normele GDPR au la bază o creștere a transparenței, așadar miza va fi aceea că înseamnă că un utilizator poate alege dacă poate oferi sau nu datele personale către terți. Conform unui studiu efectuat pe un eșantion de 300 de reprezentanți ai unor companii din diverse industrii, peste 80% au menționat faptul că nu doresc ca datele lor să fie înstrăinate către terți.
  2. Termenii și condițiile de utilizare a unui website sau a unei soluții software trebuie să fie distincte de alte forme de consimțământ, iar acestea trebuie să fie extrem de accesibile utilizatorului. În cazul aplicațiilor de tip SaaS sau a tool-urilor, conform noilor reglementări GDPR, este necesar acordul cu Termenii și Condițiile înainte de o eventuală descărcare/autentificare pentru acces în aplicație.
  3. Actualizarea politicilor de cookie-uri
  4. Evitarea acelor întrebări cu rol de mărire a breșei de securitate a contului prin folosirea unor răspunsuri la întrebări personale (începând cu data de 25 mai 2018, întrebări prin care sunt solicitate informații precum: detalii despre familia clientului/utilizatorului, preferințe, obiceiuri de consum etc. nu mai sunt permise.

Cu toate acestea, pentru respectarea unui nivel ridicat de securitate a contului, este recomandată autentificarea în 2 pași.

  1. Informarea utilizatorului cu privire la log-urile care conțin adrese IP.
  2. În cazul aplicațiilor de e-commerce, în cazul procesării plăților, este necesar ca la un anumit interval de timp comunicat utilizatorului, datele de plată să fie șterse.
  3. Pentru aplicațiile care folosesc sisteme de monitorizare bazate pe algoritmi de inteligență artificială, este extrem de important ca acestea să informeze utilizatorul despre modul de funcționare, iar în cazul în care acesta nu este de acord cu modul de operare, are dreptul de a accesa opțiunea Right to be Forgotten.

Ai o întrebare specifică? Trimite-ne un mesaj pe adresa marketing@softlead.ro

Cauți o aplicație software?

Completează formularul și vei fi contactat de unul din consultanții noștri!