¿Eres de los que utilizan un texto genérico para las páginas legales de tu sitio web? Ya sabes, la Política de Cookies, Política de Privacidad, Aviso Legal…etc. ¿Tienes formularios de suscripción en los que no recoges el consentimiento explícito del usuario para el uso de su email tras ser informado de estas políticas? ¿No informas detalladamente a tus usuarios de los servicios donde se utilizan sus cookies?
Pues si eres una empresa o autónomo que opera en la Unión Europea, en pocos días podrías enfrentarte a una sanción por incumplir el Nuevo Reglamento Europeo de Protección de datos. Con unas cuantías de entre el 2 y el 4% del volumen de negocio anual del pasado ejercicio.
Te recomiendo que adaptes tu web a las nuevas normas. Ya no sólo por las sanciones, sino porque para posicionar tu web en internet, también es necesario ofrecer a tus usuarios una imagen de seriedad y transparencia. Recuerda que Google premia a los sitios web que tienen los mejores indicadores de experiencia de usuario, con las primeras posiciones.
No te voy a engañar, yo me he puesto manos a la obra con la mía en los últimos días. “A la española”, cuando faltan menos de 2 semanas para que se cumpla la fecha límite. Y eso que llevamos con la nueva ley ¡Casi 2 años!
A mi favor diré que a la mayoría de los emprendedores nos resulta un auténtico tostón leer el reglamento, asusta solo ver las 88 páginas que componen el PDF. Y, como ocurre muy frecuentemente en temas legales, algunos puntos se prestan a interpretación.
Por eso, he querido aprovechar la oportunidad para invitar a mi blog a un experto en la materia. Mi amigo José Luis Quintana, un auténtico Jurista Entre Bambalinas, con el que tengo la suerte de compartir lugar de trabajo. Gran abogado y mejor persona 🙂
Te dejo con José Luis…
Lo que no sabías sobre la RGPD. Con José Luis Quintana
La fecha límite está al caer. A partir del 25 de mayo de 2018, comenzará a aplicarse el Reglamento General de Protección de Datos (RGPD) que afecta a todas aquellas empresas o instituciones que tratan datos personales de ciudadanos europeos.
El nuevo reglamento moderniza la normativa de protección de datos y unifica las legislaciones de los diferentes estados miembros. El objetivo es establecer un mercado único digital y proteger los derechos y libertades fundamentales de las personas. En particular, su derecho a la protección de los datos de carácter personal.
¿Qué es el RGPD?
RGPD hace referencia al Reglamento General de Protección de Datos, que es la norma que unifica el régimen jurídico para la protección de datos de carácter personal en toda la Unión Europea. Esos datos personales como puede ser un correo electrónico, que son recogidos tan asiduamente en cualquier sitio web. El RGPD entró en vigor el 25 de mayo de 2016, si bien se concedieron 2 años para que las empresas, instituciones o administraciones pudiesen ponerse al día con su cumplimiento.
Durante estos 2 años en España, ha continuado aplicándose la Ley Orgánica de Protección de Datos (LOPD). Que seguirá en vigor en todo aquello que no contravenga a la nueva norma europea. No obstante, se espera que en unos meses se apruebe una nueva norma nacional, para aclarar alguno de los aspectos del RGPD.
Principales obligaciones para las empresas.
El reglamento europeo de protección de datos impone importantes obligaciones a las empresas que recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Esto es independientemente de su sector o tamaño, por lo que esto te interesa también si eres autónomo.
¿Qué se entiende por Datos de Carácter Personal?
Seguro que te estás preguntando, qué es un dato personal a efectos legales. Pues, de acuerdo con el RGPD se considera dato personal cualquier información relacionada con una persona física, que se pueda utilizar para identificarla directa o indirectamente. Así, pueden tener tal consideración el nombre, una foto, una dirección de email, datos bancarios, publicaciones en redes sociales, información médica o la dirección IP de un ordenador.
¿Qué es lo que cambia con esta ley?
El nuevo RGPD contiene notables novedades con el objetivo de mejorar el control sobre los datos personales por parte del usuario. Ahora, el principio de transparencia obligará a las empresas a informar a los interesados sobre el uso de sus datos. Es decir…
- Qué se hace con sus datos
- Cómo se hace
- Con qué finalidades se recogen y tratan esos datos
- Qué garantías se ofrecen
- Cómo pueden informarse
Se añaden nuevos derechos a los ciudadanos de los estados miembros de la Unión. No solamente los ya recogidos en la LOPD, de acceso, rectificación, consulta y oposición de los datos. Si no también el derecho de portabilidad y el derecho al olvido.
El consentimiento explícito…
El RGPD exige, además, que para el tratamiento de los datos el consentimiento de los interesados sea libre, informado, específico e inequívoco. A partir del 25 de mayo las casillas marcadas, el silencio o la inacción no serán prueba del consentimiento inequívoco.
Además, deberá existir una declaración o acción expresa como prueba de su conformidad. En este sentido, si obtuviste el consentimiento de manera implícita o por omisión, deberás volverlo a solicitar de forma explícita para poder tratar esos datos. De ahí que muchas empresas ya están enviando en sus boletines una solicitud del mismo, algunas ofrecen descuentos a cambio.
¿Hay diferentes niveles de seguridad como en la LOPD?
Asimismo, la norma europea no establece medidas en función del nivel de seguridad de los datos tratados como hace la LOPD. En lugar de ello, obliga a las empresas a fijar las “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, sin concretar qué medidas deben aplicarse.
Como empresa, estarás obligado a llevar un registro de actividades de tratamiento y realizar un análisis de riesgos en función de los datos e información que manejes. A partir este análisis, se deberán revisar las medidas de seguridad y establecer mecanismos y procedimientos de notificación de las posibles quiebras de seguridad.
Si eres víctima de un hackeo, tienes la obligación de notificarlo a la autoridad competente, en esta caso a la Agencia Española de Protección de datos, en el plazo de 72 horas.
Consecuencias del RGPD para tu negocio en internet
Cualquier incumplimiento de las normas imperativas del RGPD puede ocasionar serios problemas a tu empresa. El sistema de sanciones ha sido uno de los puntos más polémicos de la norma. Si bien existe un enfoque escalonado para las multas, las organizaciones, pueden llegar a ser sancionadas con hasta el 4% de la facturación global anual y hasta 20 millones de euros.
Están obligados a cumplir esta norma, tanto las empresas, sociedades y administraciones públicas, como los autónomos, asociaciones y comunidades. Por tanto, ya no estamos hablando de las grandes corporaciones o las teleoperadoras, dispuestas a pagar las sanciones en lugar de cumplir la ley. Estamos hablando de pequeños empresarios y profesionales como puede ser tu caso.
Por eso quiero ayudarte, con algunos consejos para adaptar tu web al RGPD. ¡Ojo! Voy a hablarte de los principales aspectos que debes revisar en tu sitio web con el nuevo reglamento. Pero no olvides que el Nuevo Reglamento no solo afecta a tu web, sino también a todas las comunicaciones que realizas con clientes, potenciales clientes, proveedores y cualquier persona física de la que tratas datos personales. Por lo que es posible que necesites ayuda de un experto para asegurarte de cumplir la ley.
¿Cómo adaptar mi web al RGPD?
Repasemos el objetivo del artículo: “Cómo adaptar tu web a la RGPD”. A lo mejor tienes una página donde ofreces tus servicios, una tienda online, haces campañas de email marketing para tus clientes o simplemente tienes un blog donde la gente se puede suscribir y no le das dado importancia a esta ley.
Pues si tu caso es uno de los anteriores, te recomiendo seguir los siguientes pasos:
1. Audita el estado de cumplimiento de la normativa sobre protección de datos
En primer lugar, tienes que saber en qué medida estás cumpliendo la nueva legislación. Con esa información determinarás qué tipo de medidas técnicas y organizativas se deben aplicar, eliminarás el listado tradicional de la LOPD y crearás uno personalizado para tu empresa.
¿Cómo hacerlo? Empieza por evaluar si tu empresa necesita o no contratar a un profesional para hacer un análisis de riesgos. Para ello, te recomiendo acudir al portal de la Agencia Española de Protección de datos y utilizar la herramienta gratuita Facilita RGPD.
Básicamente es una encuesta para saber si tu empresa maneja datos de escaso riesgo sobre clientes, proveedores o empleados, o hace un tratamiento de datos sensibles. En caso de que el riesgo sea bajo, te genera los textos que debes añadir a tus Políticas de privacidad. Al final te aparece una pantalla como la siguiente, donde puedes descargarte un documento con dichos textos.
2. Adapta tu Aviso Legal, Política de Privacidad y Política de Cookies
Aplicando el principio de transparencia, recogido en el RGPD, la redacción debe ser clara, accesible y sencilla. Además, deben incluir un espacio para que el usuario acepte o deniegue las mismas. Ya no valen esas largos términos y condiciones plagados de tecnicismos legales e incomprensibles para un ciudadano medio.
En estas políticas tiene que incluirse la identidad del responsable de la gestión de datos, los datos que se están recogiendo y tratando, la identidad de los destinatarios de los datos personales, el plazo de conservación de los datos, la finalidad con que van a tratarse y el derecho de los usuarios a solicitar el acceso, la rectificación, la supresión o la limitación en el tratamiento de sus datos.
No olvides incluir entre dicha información si haces uso de servicios de terceros que tratan y almacenan los datos (ej. Mailchimp). De igual manera, informa si tienes procesos automatizados que tratan datos, como pueden ser las herramientas para la segmentación de los perfiles de los usuarios (ej. Google Analytics).
Por último, debes situar el contenido de estas políticas en un lugar accesible para los visitantes. Puedes ponerlo en el pie de página.
3. Adapta los formularios
Ya sabes que ahora el consentimiento debe ser específico e inequívoco. Si captas datos privados de los visitantes de tu página como puede ser el email, necesitas adecuar los formularios a la ley.
Ahora, tienes que solicitar el consentimiento explícito de la política de privacidad. Además, este debe ser verificable, por lo que es preciso registrar los datos que se recogen (nombre, email, IP, etc.) y, por supuesto, el consentimiento. Es necesario añadir la información, sobre la política de privacidad en los formularios.
Te recomiendo añadir un Checkbox donde se enlace a las políticas de Privacidad. No sirven las casillas premarcadas, recuerda que tiene que ser un consentimiento explícito que asegure que el usuario ha sido informado.
4. Actualiza tus bases de datos
Seguro que te estás preguntando, si puedes utilizar los datos que con tanto empeño llevas años recopilando para enviar tus comunicaciones comerciales o newsletters. Pues, lo que establece la nueva norma es que, si el consentimiento no se obtuvo de forma conforme al reglamento nuevo, ya no es válido.
Tranquilo, si vienes realizando la captación de suscriptores con el llamado doble opt-in (mediante un formulario de suscripción y posteriormente con un email de confirmación de dicha suscripción), puedes respirar tranquilo. Tu base de datos es conforme al RGPD. Así que puedes seguir enviando boletines a tus lectores.
Conclusión (Luis)
El Nuevo Reglamente Europeo de Protección de Datos ya está aquí, y más nos vale prevenir que curar. Si tu web tiene un riesgo escaso en el tratamiento de datos de carácter personal, las modificaciones que tienes que hacer son muy poquitas. Poco más que adaptar los textos de tus términos y condiciones, y adecuar todos los formularios. Y en caso contrario, te recomiendo acudir a un especialista legal como José Luis.
Es un trabajo que compensa para asegurarte de cumplir la ley y evitar sustos. Piensa que el beneficio no es el de evitar sanciones, sino el de seguir las buenas prácticas en Internet que rige la ley. Y por tanto el de ofrecer una mayor confianza a tus usuarios.
Te esperamos en los comentarios…
Gracias por hacerme partícipe de este gran blog. Es todo un lujo poder aprender y colaborar con personas/profesionales como tú.
¡Al contrario! Gracias a ti por traer a mi blog un contenido como este, que nos interesa a todos y requiere la explicación de un experto como tú. Especialmente por el esfuerzo de prepararlo en tan poco tiempo y con un lenguaje apto para «dummies» en la materia 😀
¡Un abrazo!
Hola, muy buen artículo. Gracias por publicarlo y arrojar un poco de luz en el tema.
Una pregunta:
En el caso de websites de nicho que monetizan con adsense, como se debe proceder ante este reglamento?
Saludos cordiales!
Hola Sharon.
Te contesto por mi parte lo que tengo entendido y aviso a José Luis para que pueda añadir información si es necesario.
Creo que la clave está en los datos que recoges a través de formularios. Debes siempre recabar el consentimiento explícito, asegurando que el usuario haya leído la política de privacidad. Y en la política de privacidad deberás incluir el texto que te genera el programa Facilita RGPD. Por otro lado, en la política de Cookies, deberás indicar que trabajas con Adsense y para que se utiliza esas cookies. Te dejo el enlace a la Agencia Española de Protección de Datos sobre el tema de las cookies: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf
Un saludo
Hola José y Luis.
Hasta ahora un Ley no puede ser extraterritorial, es decir esta ley solo aplica a la Comunidad Europea y creo que eso no se deja claro en este artículo que de hecho esta muy bueno.
Sin embargo pienso que cada una de las personas que como Luis y mi persona que recogemos datos de carácter personal debemos adaptar nuestra web a esta Ley independientemente de la aplicabilidad de esta ley o no a ciertos territorios, por ejemplo, soy de Venezuela y no debo regirme bajo esta ley sin embargo seria una buena practica hacerlo para darle mayor confianza y credibilidad al sitio web.
Saludos.
¡Hola Raúl! Creo que te refieres principalmente al texto introductorio donde no había especificado que debes implementarlo si estás dentro de la Unión Europea. Fallo mío, corregido. Complemente de acuerdo en que es positivo para todos adaptarnos a este reglamento como referencia, para conseguir la confianza del usuario. La transparencia y la buena fe son esenciales para lograr credibilidad.
Muchas gracias por tu comentario. Un saludo.
Hola a todos,
Creo que estais un poco confusos en este tema en concreto.
La ley es europea y afecta a cualquiera que recabe datos de un ciudadano de Europa, seas del pais que seas.
Per ejemplo, si Raul guarda datos personales de ciudadanos europeos que visitan su web, debe de cumpli, sí o sí.
Era solo por aclarar la duda que veía que teníais.
Saludos
¡Hola Juanmi!
Muchas gracias por tu aportación. Seguro que aclara muchas dudas.
Un saludo
Hola Luis
Aunque vivo en Venezuela me parece muy bueno que se agregue transparencia al proceso de suscripción
Yo mismo lo tengo habilitado en Mailchimp
Aunque por otra parte, pienso que la ley europea deja muchas zonas grises al respecto
No parece que llamaron a expertos en el área de marketing para que los asesorarse
Saludos desde Caracas
Hola! Cuando hablas de los niveles de seguridad no mencionas cuáles deberían ser esas medidas técnicas y organizativas necesarias para garantizar la seguridad. Supongo que es por el hecho de que la ley lo deja muy abierto. Pero es importante este punto, el de salvaguardar la seguridad de los datos. Se recomienda a las empresas (sobre todo las que trabajan con grandes volúmenes de datos sensibles) aplicar una estrategia 3-2-1. Esto es, 3: Mantener 3 copias de todos los fichero (una original y 2 backups), 2: Almacenar copias de 2 tipos distintos de soportes de almacenamiento para afrontar distintos tipos de peligros. y 1: Almacenar 1 copias de seguridad fuera de la empresa (backup offsite) para aumentar la seguridad y facilitar la restauración en caso de fallo. Simplemente por aclarar este punto que creo que es interesante para cualquier PYME, incluso para las que no tienen web.
Hola Alberto,
Así es, en el artículo nos limitamos a hablar de las modificaciones más importantes del nuevo reglamento y de su aplicación en el entorno online. Pero muchas gracias por tu comentario, no conocía la técnica 3-2-1 de copias de seguridad y seguro que a muchos de los lectores de este post les sirve para resolver ese punto que no está especificado en la Ley.
Un saludo