A partir del próximo 25 de mayo, es obligatorio cumplir con el nuevo Reglamento General de Protección de Datos (RGPD). Y, ¡atención!, su incumplimiento puede acarrear multas de hasta 20 millones de euros.

Seguramente, en los últimos días, como usuario y/o cliente, hayas recibido una avalancha de correos de proveedores de productos o servicios o de webs en las que estás dado de alta, informándote sobre los cambios en su Política de Privacidad y/o solicitándote expresamente tu consentimiento para poder seguir enviándote sus correos informativos, de ofertas, etc.

Esto es debido a que el nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigor el 24 de mayo del 2016, será de obligado cumplimiento a partir del próximo 25 de mayo.

Si bien hasta ahora, en general, muchos de los temas de Protección de Datos se trataban de una manera un tanto ‘ligera’, la cuantía de las multas previstas para quienes incumplan el RGPD (20 millones de euros en los casos más graves o hasta un 4% del volumen de negocio del ejercicio financiero previo en los casos más leves) han provocado que, a una semana de su obligatoriedad, todos nos ‘pongamos las pilas’.

Ya sabemos lo que estás pensando: ‘un poco tarde, ¿¿no??’. Pues sí. Un poco tarde y, por ello, con urgencia. Y es que, a pesar de haber mucha información circulando por la Red desde hace tiempo, hasta hace muy poco, era difícil encontrar detalles específicos sobre los cambios concretos… Y aún ahora, mucha de la información que muestran algunas páginas webs está incompleta o es muy difusa…

Por ello, con el objetivo de ofrecer una guía simple a nuestros clientes, amigos y usuarios que les facilite estimar el alcance de los cambios necesarios para el cumplimiento del RGPD, hemos realizado una labor de recopilación, contrastación, resumen y organización de la información que circula por Internet a este respecto.

¿Qué es el RGPD?

El RGPD (Reglamento General de Protección de Datos o GDPR –General Data Protection Regulation- UE 2016/679, del 27 de abril) es la primera iniciativa sobre protección de datos de carácter personal que afecta a todos los países de la Unión Europea y que, por tanto, unifica derechos y obligaciones de usuarios y empresas. Su objetivo principal es proteger los datos de los usuarios de la UE en Internet intentando evitar que dichos datos sean usados sin su consentimiento y/o comercializados.

Por tanto, a partir del 25 de mayo, es necesario que tu página web informe a los usuarios sobre qué datos se recogen, quiénes son los propietarios de esos datos, qué se va a hacer con ellos y cómo se están tratando.

¡OJO!. En este artículo nos centraremos exclusivamente en los cambios a llevar a cabo en tu página web. Sin embargo, el resto de documentos que utilizas en tu negocio para recoger y tratar datos personales (por ejemplo, un contrato de trabajo o un contrato comercial) también deben ser adaptados al nuevo reglamento. De la misma manera, existen otras medidas obligatorias (por ejemplo, crear un Registro de Actividades de Tratamiento de Datos) que, por no estar directamente relacionadas con la página web, no trataremos aquí.

Pero ¿qué es un dato personal?. Pues es cualquier información relacionada con una persona física que se puede utilizar para identificarla directa o indirectamente: nombre, NIF, foto, email, dirección, datos bancarios, información médica, IP del ordenador, afiliaciones, estado civil, etc..

Por tanto, para la protección de los datos personales, a grandes rasgos, el nuevo reglamento incluye lo siguiente:

• Derechos de privacidad personales mejorados, con controles más flexibles que permiten a las personas obtener acceso a sus datos personales e interactuar con ellos.
• Un mayor número de permisos para proteger los datos, incluidas directrices más estrictas de confidencialidad y anotación de registros, así como directivas más transparentes para el tratamiento de los datos.
• Obligatoriedad de informar de las infracciones, aprendizaje de privacidad para el personal y nombramiento de un responsable de protección de datos.
• Importantes penalizaciones para casos de no cumplimiento, incluidas multas considerables que se aplican independientemente de si la organización incumplió de forma intencionada o si lo hizo por error.

Y entonces, ¿qué pasa con la LOPD?. Durante los 2 años transcurridos desde la aprobación del nuevo reglamento hasta hoy, la LOPD (Ley Orgánica de Protección de Datos) ha seguido vigente. Sin embargo, se espera que en unos meses se apruebe una nueva ley que facilite la aplicación del RGPD que, por supuesto, no podrá contradecir al nuevo reglamento, pero sí concretar algunos de los aspectos que, hasta ahora, no parecen estar muy definidos.

¿A quién afecta el RGPD?

Pues, prácticamente, a todos. Desde el punto de vista empresarial, el nuevo reglamento será de aplicación a todo negocio que, con independencia del país en donde tenga su sede y de su actividad, recoja, trate o gestione datos de ciudadanos de la Unión Europea.
Desde el punto de vista de usuario, el nuevo reglamento afecta a todas las personas que vivimos dentro de la Unión Europea.

Y ¡ATENCIÓN!, no sólo hablamos de negocios: el cumplimiento del RGPD afecta a páginas puramente informativas, blogs personales, tiendas online, landing pages, etc, que hagan una captura de datos de usuario (por ejemplo, un simple formulario de contacto).

Por otra parte, las características propias de tu negocio (sector, principalmente) condiciona, en gran manera, las medidas obligatorias a implementar para cumplir el reglamento.

¿Qué tengo que hacer en mi página web para cumplir el RGPD?

En resumen (insistimos en que sólo hablamos de medidas obligatorias relacionadas con la página web):

• Designación del Delegado de Protección de Datos. Básicamente consiste en elegir al encargado de la adaptación si no ha sido ya designado para esta tarea en otras áreas del negocio.
• Adaptación del Aviso Legal.
• Adaptación de la Política de Privacidad.
• Adaptación de la Política de Cookies.
• Adaptación de los Términos Generales de Uso y/o Contratación.
• Adaptación de los formularios (de contacto, comentarios, suscripciones a boletines, reservas, etc.) que estén presentes en tu web.
• Si generas boletines o newsletter periódicas:
  • Diseño de un boletín o newsletter para informar y solicitar su consentimiento expreso de suscripción.
  • Diseño de un formulario para que los usuarios confirmen su suscripción a la newsletter.
• Otras medidas obligatorias para cumplir la norma, por ejemplo, notificar cualquier problema de privacidad.

Repasemos estos conceptos:

Aviso Legal. Política de Privacidad y Política de Cookies

Estas secciones deben existir SIEMPRE y ser accesibles desde cualquier página de tu web, por ejemplo, incluyéndolos en el pie de página (footer). Además, deben de estar redactadas en un lenguaje claro, sencillo y accesible.

¿Qué debe incluir el Aviso Legal?

Esta sección, apenas sufre variaciones. Debe incluir, al menos:

• Propietario de la web, su NIF/CIF, dirección, correo electrónico y teléfono, así como otros datos que se incluyen en determinados casos (información del registro mercantil, autorización administrativa, nº de colegiado,…).
• Especificar si los contenidos que presentas en tu web (fotografías, documentos, vídeos,…) son tuyos o de un tercero. En el primer caso, tendrás que indicar que la propiedad intelectual e industrial es tuya. En el segundo, tendrás que especificar que tienes el consentimiento explícito del autor para publicar sus contenidos. Si están bajo una licencia copyleft, deberás cumplir las condiciones que ponga cada autor para utilizar sus contenidos.
• Deberás proporcionar los canales de contacto adecuados para que los usuarios puedan solicitar información adicional, reclamar o resolver algún conflicto.

¿Qué debe incluir la Política de Privacidad?

• La identidad del Responsable de la gestión de datos y/o la del Delegado de Protección de Datos.
• Los datos que se están recogiendo y utilizando y con qué finalidad se recogen esos datos personales.
• Las bases legales sobre las que se asienta el tratamiento de datos personales.
• La identidad de los destinatarios de los datos personales, por ejemplo, plataforma de email marketing, hosting, Google Anaylics, etc.
• El plazo en el que se conservarán los datos personales o, al menos, el criterio para determinarlo.
• Si los hay, la existencia de procesos automatizados. Por ejemplo, si utilizas alguna herramienta de segmentación para la elaboración de perfiles de clientes o usuarios.
• Los derechos del usuario cuando facilita sus datos personales. Por ejemplo: solicitar el acceso a sus datos, rectificación, supresión u oposición o limitación en el tratamiento de sus datos.
• Facilitar a los usuarios los canales de contacto adecuados para ejercer sus derechos.
• La fecha de actualización de la Política de Privacidad.

 ¿Qué debe incluir la Política de Cookies?

Se deberá seguir informando de qué es una cookie, qué cookies se utilizan en la web, cómo se pueden desactivar y las posibles consecuencias al desactivar o no aceptarlas.

Sin embargo, la Unión Europea ahora exige el correcto cumplimiento de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE) y obliga a que cualquier cookie que recoja datos de carácter personal de los usuarios deberá ser bloqueada hasta que los propios usuarios otorguen su consentimiento expreso para que pueda ser utilizada.

Antes de que cunda el pánico, una aclaración:

• Si las cookies utilizadas son de terceros (como las de Google Analytics), mientras se mantenga el anonimato de los usuarios, sólo es necesario informarlo a través de los avisos correspondientes (política de cookies y/o de protección de datos) de tu web.
• Si utilizas cookies de terceros o usas cookies propias pero identificas al usuario, entonces si estás obligado a obtener el consentimiento expreso por parte del usuario. Y, además, debes obtener (también expresamente) la renovación de ese consentimiento cada 12 meses comenzando a partir de la primera visita del usuario a tu web.
• Finalmente, como en el resto de secciones, debes de facilitar a los usuarios los mecanismos adecuados para ejercer sus derechos de revocación del consentimiento.

¿Qué debe incluir los Términos Generales de Uso?

Este apartado tampoco cambia significativamente. En general, debe reflejar los términos y condiciones de acceso y uso a la web, las obligaciones del usuario, las medidas de seguridad, responsabilidades, propiedad intelectual, etc.

Algunos de estos apartados también se reflejan en el Aviso Legal. Y, muchas webs incluyen en esta sección su Política de Cookies.

¿Cómo deben ser los Formularios?

Es necesario que requieran el consentimiento expreso del usuario y la aceptación de la Política de Privacidad y Cookies antes de su envío. Se entiende por consentimiento expreso la acción que debe realizar el usuario para autorizarte a ello.

En concreto, es necesario que esté presente una casilla de verificación (checkbox) solicitando, de manera explícita, que el usuario acepte las mencionadas políticas y, además, esa casilla de verificación no debe estar marcada por defecto.

El consentimiento que obtengas de los usuarios para el tratamiento de sus datos deberás guardarlo por si en algún momento tienes que justificar que no lo has obtenido de forma tácita.

• En el texto de la casilla, deben estar vinculadas las páginas dónde se detallen las políticas.
• Añadir, en el mismo formulario, una primera capa de información de dichas políticas que muestre un resumen sobre el tratamiento de los datos introducidos por el usuario, como por ejemplo:
  • Responsable: Nombre del responsable de los datos (empresa, si procede).
  • Finalidad: Obtención expresa del consentimiento del usuario para responder a las cuestiones que éste plantee a través del formulario de contacto.
  • Legitimación: Consentimiento del interesado.
  • Destinatarios: No se cederán datos a terceros, salvo obligación legal.
  • Derechos: Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional.
  • Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en el siguiente enlace: enlaces correspondientes.

 ¿Qué hacer con las listas de suscripciones (Newsletters)?

Probablemente, el punto más conflictivo. Como sucede con los Formularios, para el envío de un boletín a un usuario éste ha debido dar su consentimiento expreso para ello. Es decir, si no tienes ese consentimiento, cualquier correo que le envíes con alguna promoción, información, etc. sin que ellos te hayan autorizado, será ilegal a partir del 25 de Mayo.

Si en tu web existe un área de suscripción a boletines, deberás incluir (como en los formularios), la casilla de verificación y la capa de información básica.

Pero ¿entonces? ¿qué pasa con tus listas (esas que has ido elaborando durante tanto tiempo) ya existentes?

Pues que para poder usarlas, tendrás que informar a todos los suscriptores sobre lo que vas a hacer con sus datos y obtener su consentimiento expreso mediante, por ejemplo, un email o un boletín especial en el que se incluya un enlace que permita al usuario confirmar (o consentir) su suscripción.

Single Opt-in y Double Opt-in

Todo lo comentado anteriormente queda definido bajo estos dos conceptos que incluimos aquí porque serán de uso frecuente a partir del 25 de Mayo. Ambos términos aluden a dos sistemas de verificación y, en ambos, se parte de la base de que el usuario ha aceptado ya (single opt-in) recibir tus comunicaciones comerciales. Sin embargo, el primero no cumple con el RGPD y el segundo sí.

Es decir, en el single opt-in no es necesaria una validación de datos: tus clientes o clientes potenciales se apuntan a una lista (física o través de una suscripción en tu página web) para recibir tus boletines informativos periódicos.

El double opt-in es una verificación en dos pasos. En el primer paso, el usuario se inscribe (single opt-in). En el segundo paso, el usuario recibe un email que incluye un enlace para confirmar su suscripción.

Comunicación de problemas de seguridad

El RGPD estable un plazo máximo de 72 horas para notificar a tus usuarios cualquier incidencia o brecha de seguridad ocurrida en tu página web siempre y cuando la información que tu página recoge no este cifrada, en cuyo caso no es necesario.

Esta comunicación debe incluir, al menos, la siguiente información: número de afectados, categorías de datos vulnerados, datos de contacto del delegado la Protección de Datos, las consecuencias del problema sucedido y las medidas tomadas para subsanar el problema.

Independientemente del caso, toda esta información debe quedar registrada documentalmente para reportar cualquier incidencia a la Autoridad de Control, si fuese necesario y/o requerida, o a los propios afectados.

Más información 

La Agencia Española de Protección de Datos (AEPD) ha incluido en su web gran cantidad de información, guías y diversas herramientas on-line para facilitar a empresarios, websmasters y responsables de ficheros de datos la comprobación del cumplimiento del nuevo reglamento. Sin embargo, avisamos: las herramientas on-line sólo serán útiles para los casos más simples….

Lista de acciones a realizar en tu página web para adaptarla al nuevo RGPD

Escribir un comentario