A pesar de haber pasado casi 5 meses desde que la nueva normativa del RGPD entró en vigor, cumplir con RGPD 2018 es tarea costosa y son muchas las páginas web que no han sido actualizadas y desconocen las fuertes sanciones a las que están expuestas.
Igual da si eres una multinacional, pyme o particular… quiero que sepas que tu situación no te excluye de dichas sanciones si no cumples con la nueva normativa que se puso en marcha el pasado 25 de mayo de 2018.
Por lo tanto, hoy y con esta entrada voy a intentar informar de cómo cumplir con el RGPD y evitar de este modo una desagradable sorpresa en el futuro.
Quiero mencionar que esta información que ofrezco no ha sido encontrada buscando en diferentes páginas de internet, sino que ha sido creada para el sitio luisjordan.net por un abogado especializado en online.
Índice
¿Qué significan las siglas RGPD?
He visto en las siglas de la RGPD las letras colocadas de varias formas diferentes en distintos documentos: RGPD, RPGD, RPDG, etc. Pero todo ello quiere decir lo mismo: Reglamento General de Protección de Datos.
¿Qué es el RGPD?.
A partir del 25 de mayo de 2018, cualquier empresa comunitaria o de fuera, si comercializa sus productos o servicios en algún país de la Unión Europea debe estar adaptada al nuevo Reglamento General de Protección de Datos (RGPD).
El RGPD es la norma que afecta por igual a todos. Igual da que sea grandes corporaciones o micropymes.
El nuevo reglamento general de protección de datos entró en vigor en mayo de 2016, será de aplicación obligatoria para todas las empresas de la Unión Europea a partir del 25 de mayo de 2018, y otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo 2.0.
El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y a cómo quieren recibir información de las empresas.
Consentimiento inequívoco.
Hablamos de que este nuevo reglamento establece como forma de manifestación para la recogida de datos, un consentimiento inequívoco, ya no es válido el consentimiento prestado de forma tácita u omisiva, se basan en la inacción, y este reglamento solicita una acción o una clara acción afirmativa
Como un ejemplo de lo anterior, la Guía ofrecida por la AEPD, establece como un consentimiento válido, cuando un usuario continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación)
En definitiva, dicho consentimiento debe ser una manifestación de voluntad libre, específica, informada e inequívoca.
Además de ese consentimiento inequívoco, deberá ser explícito en los siguientes casos:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales de datos.
Nuevos derechos de los usuarios.
Hasta ahora los usuarios podían ejercer los típicos derechos ARCO, pues ahora se amplían en los siguientes derechos:
- Derecho de Acceso a los datos recabados sobre su persona.
- Derecho a solicitar su rectificación: En el caso que sean incorrectos.
- Derecho a suprimir los datos (Derecho al olvido).
- Derecho a solicitar la limitación de su tratamiento.
- Derecho a oponerse al tratamiento: Dejar de tratar los datos en la forma que indique el usuario.
- Derecho de portabilidad: Trasladar los datos del usuario a otra empresa.
¿Cómo mostrar ahora las 2 capas de información?
Como hemos mencionado con anterioridad, el RGPD quiere que el consentimiento del usuario, sea informado, y para que esa información sea válida, nos ha propuesto separar esa información en dos capas, una primera capa con la información más breve y sencilla, y en la segunda capa, la información expuesta de forma más extensa y completa.
Primera capa de información
Esta primera capa de información se tiene que ofrecer en el momento que se vayan a tratar datos, es decir, el el cajón para los comentarios, formulario de contacto, carrito de la compra, apartado de newsletter… En todo apartado donde se vaya a producir una recogida de datos, se tendrá que ofrecer la siguiente información:
- Responsable: Datos del responsable.
- Finalidad: Descripción de la finalidad por la que se va a recoger la información solicitada.
- Legitimación: En qué precepto legal te estas basando para tratar los datos del usuario.
- Cesiones: Establecer si habrá cesión o no de los datos.
- Derechos: Referencia a los derechos que hemos mencionado con anterioridad.
- Fuente de los datos: Establecer la procedencia de los datos (Sino proceden del interesado).
Obviamente, toda la información anterior, deberá de ir acompañada de un Checkbox donde se acepte la política de privacidad (enlace incluido a la política de privacidad).
A continuación muestro un ejemplo de uso que tengo implementado en mi página de contacto: https://luisjordan.net/contacto/
Como podéis ver, existe la primera capa informativa y un enlace a la política de privacidad donde aparecerá la información completa (segunda capa).
Segunda capa de información.
En la página de política de privacidad, deberá constar de forma más detallada la información que hemos puesto en esa primera capa, en este caso:
- Responsable: Datos identificativos del responsable (dirección exacta, D.N.I. o C.I.F.), datos de contacto (teléfono o mail), así como delegado de protección de datos en el caso de que haya uno.
- Finalidad: Descripción de la finalidad de cada tratamiento de datos que se esté realizando y el plazo de conservación que se van a tener esos datos.
- Legitimación: Detallar la base jurídica de dicha legitimación, ese interés legítimo y la obligación de facilitarlos o no.
- Destinatarios: Detallar los destinatarios de cada tratamiento que se esté realizando en la empresa o actividad
- Derechos: Detallar de forma específica cada uno de los derechos que se pueden ejercitar y cómo ejercitarlos, además hay que añadir el derecho a retirar el consentimiento prestado y el derecho a reclamar ante la autoridad de control.
- Información del origen de los datos en el caso en que los datos hayan sido facilitados por terceros.
¿Qué es el registro de actividades del tratamiento?
Antiguamente era necesario dar de alta el fichero en la AEPD, en la actualidad, ya no es necesario dar de alta ningún fichero, aunque ahora es obligatorio realizar un registro INTERNO de actividades de tratamiento, en él tendremos que añadir lo siguiente:
- Datos de contacto del responsable.
- Fines del tratamiento de los datos.
- Descripción.
- Categorías de los destinatarios.
- Plazo previsto para la supresión de datos.
- Medidas técnicas y organizativas de seguridad.
- Transferencias internacionales si se producen…
Y esto, habrá que realizarlo para cada tipo de actividad que realicemos, las actividades más comunes son:
- Clientes.
- Proveedores.
- Curriculums recibidos.
- Newsletter.
- Trabajadores de la empresa – Nóminas.
- Usuarios Web.
- Email.
- Facturación.
- Contacto vía web.
El conjunto de todos los ficheros mencionados con anterioridad, será lo que conforme ese registro de actividades.
Sanciones por incumplimiento de RGPD.
Como comentábamos al principio de la entrada, son muchas las empresas que desconocen de las grandes sanciones que se están imponiendo por el incumplimiento de esta normativa.
Las multas que se pueden llegar a imponer por el incumplimiento de estas políticas pueden ser de hasta 20.000.000€ o 4% de la facturación total y global si es superior.
¿Qué debe contener la política de privacidad de mi web para cumplir con RGPD?
El primero de los cambios a realizar en ambos sitios, es actualizar la política de privacidad y en concreto:
Política de privacidad accesible:
Se puede hacer política de privacidad, aviso legal y cookies en una misma página, aunque es interesante poner marcadores en dicha página para que así los usuarios puedan navegar por dichas políticas sin problemas.
Responsable del tratamiento de los datos recogidos:
Identificación de los datos de contacto con el responsable, en el caso de nombrar un delegado o responsable de seguridad en los datos, habría que especificarlo.
Se recomienda establecer estos datos en un formato imagen para que un scrapeador no pueda hacerse con ellos.
Derechos de protección de datos:
Hay que recoger en la política de privacidad, los derechos que hemos mencionado con anterioridad.
Asimismo, hay que establecer un modelo de “cómo ejercitar los derechos”, hay que evitar la usurpación de datos y para ello, un posible modelo de como ejercitar esos derechos podría ser el siguiente:
“Los usuarios que quieran ejercer los siguientes derechos, pueden elegir cualquier medio de comunicación, por escrito al domicilio reseñado con anterioridad, o bien por correo electrónico, para que el ejercicio de tus derechos se más rápido y eficaz, aconsejamos el uso de medios electrónicos, a dicha petición, deberá incluir fotocopia de DNI u otro documento identificativo que acredite la identidad del usuario que quiere realizar esos derechos, siendo estos los siguientes:”
De esta manera, si por lo que sea, no accedes a realizar el derecho de acceso de un usuario, podrías defenderte haciendo ver que no aporto copia del DNI y por lo tanto, no acreditó su identidad.
Dentro de este nivel de protección de datos, hay que ofrecer la posibilidad de retirar el consentimiento, ya que en un momento inicial el usuario prestó su consentimiento, pero con posterioridad puede retirarlo, sin mencionar causa justa alguna, simplemente manifestándolo por cualquier vía a su disposición.
Conservación de los datos:
Hay que especificar el tiempo de conservación de los datos, como así viene recogido en el RGPD, por lo tanto, hay que ver el tipo de dato que se recoge y su finalidad, haciendo ver que en cada caso las particularidades de los datos recogidos, los más comunes son:
Datos de los clientes:
El periodo de conservación de los datos de los clientes variará en función del tiempo que dure la relación contractual, mantenimiento y su posterior decisión de eliminar sus datos, se conservarán los datos
Datos suscriptores a la newsletter:
Desde que el usuario se inscribe a la newsletter hasta que el usuario se dé de baja en la misma, se conservarán sus datos
Datos usuarios realizan comentarios:
Desde que el usuario realiza un comentario en la web hasta que solicita su retirada, se conservarán sus datos
Datos usuarios dejan sus datos en la página de contacto:
Se recabará su información acorde a nuestra política de privacidad, conservándose los datos el tiempo estrictamente necesario o hasta que se dé de baja el usuario
Procedencia, finalidad y legitimidad de los datos:
Es obligatorio informar a los usuarios quien va a almacenar los datos, por lo tanto, hay que poner la página del hosting donde se van a recoger ciertos datos, el programa de email marketing donde se envían las campañas con newsletter, software CRM que se esté utilizando…
Los datos que se van a recabar a través de la página web
Si se utiliza algún medio de pago online como Paypal, comentar de forma breve en que consiste
Y la finalidad y legitimación consiste en hacer ver que los datos recabados tendrán la finalidad de prestar una mejor información o el servicio que sea solicitado.
Medidas de seguridad implementadas.
Aunque sea brevemente, hacer ver que se han adoptado una serie de medidas de seguridad, ya que el RGPD así lo establece.
Destinatarios de los datos.
Se trata simplemente de mencionar si existe una cesión a terceros en los datos o no, una forma de recoger muy sencilla es hacer ver que no se cederán los datos confidenciales a terceros, salvo que exista obligación legal.
¿Cómo actualizar mi página web para cumplir con RGPD?
Aquí dependemos mucho de si se ha hecho uso de un CMS tipo WordPress, Prestashop, etc. O si la página web está hecha con código puro.
En el caso de que tu página web no haga uso de ningún CMS, te recomiendo que estudies su migración (es un buen momento).
Integrar en una página web hecha a medida código para cumplir con la RGPD.
¿Estás preparado para pegarte una buena sesión de trabajo y adaptar tu página web con el RGPD?… si estás dispuesto, empecemos. No voy a entrar en detalle, pero si a enumerar cada una de las necesidades que tiene tu web para cumplir con el reglamento europeo.
Creando las páginas necesarias.
Lo primero que debes hacer es crear (si no dispones ya de ello) una página para política de privacidad, otra para política de cookies y otra de aviso legal. No son las 3 necesarias, pero ya que queremos dejar nuestro sitio correctamente actualizado para cumplir con todos los temas legales, creemos las 3.
Tampoco se va a detallar cada una de ellas, lo que sí que se va a hacer es pasar un enlace de las mías para que podáis copiar y pegar actualizando el contenido con vuestros datos personales:
Aviso legal: https://luisjordan.net/condiciones-de-uso/
Política de privacidad: https://luisjordan.net/politica-de-privacidad/
Política de cookies: https://luisjordan.net/politica-de-cookies/
Creando ventana modal de aviso y registro de cookies.
Una vez creadas las 3 páginas, necesitamos una ventana modal que nos avise cuando entramos por primera vez al sitio web de la aceptación de la política de cookies.
Dejo una imagen a modo representativo para que sepamos de que estamos hablando.
Por supuesto, en esta ventana modal la palabra política de cookies será un enlace a nuestra página de política de cookies.
Y ahora el trabajazo… Al pulsar en el botón de aceptación, debemos guardar en nuestra base de datos todos los datos que correspondan a esta aceptación, ya que si en un futuro el navegante quiere modificar o eliminar algún dato, se le deberá permitir hacerlo. Lo sé… es costoso y poca gente hará uso de ello, pero así dice el RGPD que debe ser.
Integración de primera capa de información.
También debemos poner una primera caja de información en todo formulario de contacto, suscripción a newsletter, comentarios, etc. Lo que es lo mismo, en cada lugar donde el navegante pueda dejar cualquier información personal como puede ser cuenta de email, nombre, teléfono, etc.
Paso una imagen a modo de ejemplo de la primera capa informativa.
Plugins RGPD para WordPress.
Los 2 plugins que os puedo recomendar para esta plataforma son GDPR cookie consent y WP comment policy checkbox. Con ellos dispondremos de la ventana modal para la primera vez que el navegante entre en nuestro site y también, casillas de aceptación en comentarios.
Os recuerdo que plugins como contact form 7 o ninja forms, disponen de sus propios checks de verificación.
Plugins RGPD para Prestashop.
En el caso de tener que actualizar vuestro comercio electrónico, os recomiendo hacer uso de este módulo: https://addons.prestashop.com/es/marco-legal-ley-europea/8123-cumplimiento-ley-de-proteccion-de-datos-rgpd.html
Está disponible tanto para la versión 1.6 como para la 1.7 de Prestashop.
NOTA: Esta entrada es meramente informativa, yo Luis Jordán no me responsabilizo de las carencias que este documento pueda tener. Te recomiendo que para cumplir 100% con el RGPD contrates a un abogado especializado en la materia y te asesore lo mejor posible.
Muy bien explicado, gracias por compartir esta información Luis 🙂