Derecho, Protección de datos

LOPD, GDPR Y PROTECCIÓN DE DATOS EN LA CREACIÓN DE BLOGS Y PÁGINAS WEB

La nueva regulación de la protección de datos ha implantado una nueva forma de visión de la vida privada de las personas.

En primer lugar, se ha de destacar que “si algo tiene de mérito el RGPD es que ha planteado exigencias que hacen que sea muy visible y claro el incumplimiento. Solo debes entrar a una web, ver uno de sus formularios y ya sabes si cumple o no, si es sancionable o no.

Otra cosa de la que nadie habla es del “Derecho a indemnización y responsabilidad” que aparece en el artículo 82 del RGPD: “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.”

Y no imaginas la trascendencia que tiene este artículo, porque genera todo un incentivo a la denuncia y un nuevo mercado para los oportunistas a quienes, sin mucha complicación, se lo estás poniendo en bandeja para que te denuncien y se vean recompensados por ello vía indemnización.

Y es curioso que a todo el mundo le preocupe las sanciones en lugar de preocuparse de cómo evitarlas. Sobre todo, cuando no es tan complicado adecuar tu web, al menos, a un nivel básico para tener todo lo “gordo” bien atado.

También es curioso que no se ponga en foco en esta otra cuestión, las indemnizaciones, ya que no solo es un incentivo a la denuncia, sino que incrementan las ya demenciales cifras de una posible sanción al que tener que abonar, además del monto al órgano controlador, otro tanto al afectado como indemnizaciones por daños y perjuicios.

El incumplimiento del RGPD no es algo para tomárselo a la ligera.

Cualquier Ciudadano podrá presentar reclamaciones de daños y perjuicios por daños identificables y cuantificables en caso de sanción por vulnerar cualquiera de las disposiciones del RGPD.

Si además, resulta que no hace falta ser ninguna lumbrera para identificar una web que no cumple el RGPD, es jugársela mucho o pedirle mucho a la suerte.

Creo que ya tienes una razón de peso para ponerte las pilas, más claro imposible; pero por supuesto, no es la única; en general debes cumplir con el RGPD porque:

  • Te juegas el tipo.
  • Te juegas tu reputación.
  • Te juegas tu continuidad de negocio.
  • Te juegas tu competitividad.
  • Te juegas tu credibilidad.
  • Te juegas la confianza de tu audiencia.
  • Te juegas tu activo más valioso: tus bases de datos.

Pero cuidado, ya que te decides a cumplir, hazlo bien y asegúrate de que contratas un servicio profesional.

No son pocas las empresas y profesionales que han sido engañadas por servicios profesionales deficientes; el siguiente artículo lo ilustra con meridiana claridad:

Por ese motivo, te recomiendo también que no delegues a ciegas, “culturízate” antes con posts como éste para entender la esencia de problemática relacionada con el RGPD. No es muy complicado de entender, te lo aseguro”.

En segundo lugar, se debe señalar que “tal y como se tratan estos datos personales a día de hoy, ¿se está cumpliendo con el nuevo GDPR? ¿Qué hay que hacer para cumplir con esta nueva ley europea de protección de datos? Es recomendable que todas las empresas empiecen a familiarizarse con las nuevas exigencias y procedimientos para evitar sanciones llegado el momento. Por eso, en este post explicamos las 10 novedades más relevantes que se deben conocer para cumplir con el nuevo GDPR.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (GDPR) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos deroga la anterior Directiva 95/46/CE, texto de referencia a escala europea en dicha materia.

Este Reglamento moderniza la normativa europea sobre protección de datos e unifica las legislaciones de los diferentes estados miembros, lo que implica un avance hacia la consecución de un verdadero mercado único digital. Se ha diseñado para permitir a los ciudadanos un mejor control sobre sus datos personales y para generar así mayor confianza a los consumidores europeos que realicen compras online en diferentes estados de la Unión.  Aunque su cumplimiento será exigible a partir del 25 de mayo de 2018 es necesario que los sujetos afectados empiecen a familiarizarse con el nuevo GDPR, ya que
amplía las obligaciones de las empresas europeas, autónomos, administraciones pública

s, y también de aquellas empresas ubicadas fuera de la Unión Europea que ofrezcan sus productos o servicios a usuarios de países miembros, o que reciban datos personales desde la UE”.

En tercer lugar, hay que indicar que, “entre los cambios más notables que introduce el RGPD respecto a la LOPD que afectan a una web, están los siguientes 10 puntos básicos:

  1. La necesidad de obtener un consentimiento explícito, inequívoco,
    informado y verificable de los usuarios o clientes para poder gestionar sus datos, con nuevos mecanismos para obtenerlo y acreditarlo.
  2. La necesidad de ofrecer a usuarios y clientes información completa de manera previa, sobre el uso de su propia información personal con nuevos requisitos
    informativos respecto a la LOPD, entre otros, el de la claridad, la
    transparencia y la accesibilidad a esta información.
  3. La necesidad de concretar y especificar
    con mucho más rigor todo lo que incluya la información personal de las
    personas a quienes les requieras sus datos (en una suscripción,
    comentario, registro, etc.).
  4. La necesidad de garantizar un acceso fácil de todos los que te aportan sus datos personales a la información que les concierne.
  5. El derecho al olvido y al de oponerse incluso al uso de datos personales, a efectos de establecimiento de perfiles.
  6. La necesidad de llevar un registro de actividades tratamientos interno (RAT).
  7. La necesidad de acreditar el cumplimiento de todos los colaboradores con quienes se compartas información.
  8. La necesidad de aplicar medidas de seguridad adecuadas al nivel de riesgo.
  9. La necesidad de llevar a cabo controles periódicos para garantizar todas las medidas y obligaciones recogidas en el RGPD.
  10. La necesidad de disponer de un protocolo de detección y notificación de brechas de seguridad”.

En cuarto lugar, se debe de puntualizar que “el RGPD entró en vigor el 25 de mayo de 2018 y es de obligado cumplimiento para todos los que tenemos un blog.

“Pero si el mío es pequeño y no tiene más de 200 visitas al día”, he oído a alguno.

También tienes que adaptarlo al nuevo reglamento.

Es casi seguro que no te van a multar (las sanciones puedes llegar hasta 600.000 euros y el 4% de la facturación), pero siempre es mejor estar legal. Y como verás no es muy complicado.

Antes de seguir avanzando, hay que definir qué son los datos personales. Según la LOPD, en su artículo 3, los datos personales son “cualquier información concerniente a personas físicas identificadas o identificables”.

Es decir, datos personales son (casi) todo.

Si tenemos un blog y recogemos datos personales tenemos que adaptarlo al RGPD.

Es decir, que si captas correos a través de un formulario de suscripción tienes que hacerlo. Más abajo veremos cómo se hace de una forma rápida y sencilla.

“Pero si yo no tengo formulario de suscripción”.

¿Pero das la opción de que los lectores hagan comentarios en los artículos? Pues tienes que adaptarte al RGPD. Más abajo te cuento el plugin que utilizo. Solo hay que instalarlo y listo.

¿Tienes Google Analytics? Pues también estás recogiendo datos personales y tienes que avisar a tus lectores de que lo haces.

¿Tienes formulario de contacto? Pues lo mismo.

Así que la inmensa mayoría de los blogs tienen que adaptarse al RGPD.

Antes era necesario dar de alta un fichero con los datos en la Agencia Española de Protección de Datos (AEPD). Ahora ya no es necesario.

Ahora solo tienes que tener un registro de que esa persona te ha dado su consentimiento.

Consentimiento expreso

Esta es una novedad con respecto a la anterior LOPD.

Antes valía con un consentimiento tácito para poder recoger los datos personales de nuestros lectores. Lo típico ‘haz click en este botón y suscríbete al blog’.

Ahora ya no vale esto. Ahora tiene que haber un consentimiento expreso por parte del usuario de que, por ejemplo, quiere suscribirse al blog.

Y esto se hace con un checkbox o una casilla de verificación que el usuario tiene que marcar de forma obligatoria para dar su consentimiento”.

También se ha de señalar que “tu web debería disponer de algunos textos básicos:

  • Política de privacidad.
  • Aviso legal.
  • Política de cookies.
  • Primeras capas informativas en cada formulario.

Debes saber que estar adecuado a la ley de protección de datos no es hacer un trámite ni tener unos textos de “quita y pon”; requiere adquirir una cultura de protección de datos en donde la protección de datos esté presente en todas las decisiones estratégicas de tu negocio”.

Parece un trabajo sencillo, pero no lo es tanto. Se debe de indicar que “afortunadamente, existen varios plugins que te ayudarán a adecuar técnicamente tu web, pero antes debes asegurarte de que cuentas con todos los elementos necesarios, es decir, tus políticas y textos legales 100% RGPD.

Un plugin no resuelve tu adecuación, ni por asomo, solo te permite que la web realice algunas funciones necesarias de cara al cumplimiento legal.

Los plugins te permitirán:

  • Mostrar el pop-up de advertencia de cookies.
  • Utilizar las opciones preinstaladas para consentimiento de cookies.
  • Solicitar acceso o eliminación de información del usuario.
  • Instalar las primeras capas informativas.
  • Notificaciones en caso de filtración de datos.
  • Visualizar y acceder a política de privacidad, avisos legales.
  • Contar con notificaciones para el DPD (Delegado de protección de datos).
  • Registrar los consentimientos en diferentes formularios.

Plugins para Cookies y RGPD

Para que no nos hagamos lío con esto, te comento que en lo que respecta las cookies, la norma vigente es la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) hasta que se apruebe el Reglamento E-Privacy, que será la normativa europea que regule el tema de las cookies de forma específica.

Esta regulación indica que en el caso de cookies de terceros, como analíticas y publicitarias, no se pueden instalar sin contar con el consentimiento del usuario, es decir, se debería preguntar al usuario antes de descargar las cookies y, en caso de no ser aceptadas por el usuario, deberían mantenerse bloqueadas.

Respecto a la primera capa informativa, es decir, el pop up de advertencia de cookies, debe ser específico e informar del tipo de cookies que se van a descargar, por ejemplo, si solo utilizas cookies analíticas, deberías indicar lo siguiente:

“Esta web usa cookies operativas propias que tienen una pura finalidad funcional y cookies de terceros (tipo analytics) que permiten conocer sus hábitos de navegación para
darle mejores servicios de información. Puedes cambiar la configuración, desactivarlas u obtener más información”.

 

Acepto | Rechazo

En la información en la segunda capa es donde debe estar la lista de cookies y toda la demás información, es decir, debes identificar al responsable de la web, incluir concepto y finalidad de las cookies que
utiliza el sitio web y una guía de cómo desactivar o borrar esas cookies.

El RGPD introduce respecto a las cookies, como con cualquier otra información, el refuerzo del consentimiento, que debe ser inequívoco, informado y verificable; por esa razón es necesario seguir estos pasos:

  1. Auditar las cookies e identificarlas correctamente.
  2. Informarlas adecuadamente en una primera y segunda capa.
  3. Recabar el consentimiento válido y poder acreditarlo.

Pero, además, vas a necesitar un plugin para implementar cambios en tu web. Una buena opción que te recomiendo es el plugin gratuito WP GDPR Compliance que es ahora mismo seguramente el mejor plugin disponible a estos efectos.

Con este plugin puedes adecuar el pop up de cookies, obtener registros de
consentimientos y de información, los enlaces a la política de cookies, etc.

Este plugin es completamente compatible con la última versión de Contact Form 7, Gravity Forms, WooCommerce y los comentarios de WordPress para que puedas configurar las opciones de consentimiento, así como también la integración de una pestaña de ajustes.

Cookie Consent también permite cumplir de forma efectiva y sin tener demasiados conocimientos técnicos”.

También se ha de indicar que “el tener una norma común en todos los estados miembros solo puede traducirse en ventajas, ya que no solo armoniza todas las regulaciones
europeas, sino que acaba con el escaqueo legal al que nos tenían acostumbrados empresas como Google o Facebook.

Estas empresas se amparaban en regulaciones más laxas para hacer su agosto gracias a nuestros datos personales. Lo seguirán haciendo, claro, pero ahora tendrán que asumir muchas más obligaciones y enfrentarse a sanciones desorbitadas de las que antes se libraban tan fácilmente.

La nueva LOPD es una norma necesaria para la adaptación del ordenamiento español a la regulación europea y, proporcional a este objetivo, para aportar seguridad jurídica.

Me parece muy oportuna la infografía realizada por Correos para resumir las principales novedades:

 

El RGPD nos ha proporcionado una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada y digitalizada”.

También hay que añadir que, “en esa universalidad y esa actualización de la regulación a los nuevos paradigmas digitales en el tratamiento de la información, residen las principales novedades del RGPD y la nueva Ley de protección de datos en España.

Se requerían nuevas leyes para nuevos tiempos en donde ya hablamos de big data, machine learning, BYOD, el Internet de las Cosas, inteligencia artificial y muchas otras nuevas tecnologías que generan constantemente nuevos procesamientos de información que repercuten directamente en nuestras vidas.

Es innegable que, a medida que se multiplican los sistemas de tratamientos, se multiplican exponencialmente los riesgos ya que estos datos son cada día más accesibles, por más actores, y cada vez es más difícil el control de su destino y uso.

De ahí la necesidad de una nueva regulación que dé cuenta de estos avances tecnológicos y refuerce la seguridad jurídica y la transparencia.

Desde la perspectiva de un profesional digital, las cuestiones más visibles que debes afrontar para no delatarte como infractor son dos:

El derecho a la información:

Hasta ahora, las políticas de privacidad de las empresas eran opacas, farragosas, incomprensibles para la mayoría de los mortales; el RGPD exige un cambio radical en ese sentido.

Cómo permitir el ejercicio de derechos.

La nueva LOPD o LOPDGDD consolida el deber de implementar estrategias de información y transparencia por capas, garantizando un mínimo indispensable de información visible.

Por otra parte, se modula el ejercicio de los derechos, debiendo garantizar accesibilidad y gratuidad de estos y favoreciendo el acceso digital a los datos mediante fórmulas de ”acceso remoto, directo y seguro a los datos personales”.

Para ir terminando, en cuanto a la adaptación de tu página web o blog al GDPR, debes cumplir lo siguiente:

“Genera los textos legales

La textos legales que vas a necesitar son los siguientes:

  • Aviso legal. Recoge información general relativa a los términos y condiciones legales que definen las relaciones entre los usuarios y el responsable del sitio Web. El usuario debe conocer dicha información antes de continuar navegando. Por eso casi todas las webs lo tienen en el pie de página.
  • Política de privacidad. Es el documento donde se explica qué datos personales se recopilan de los usuarios y cómo se utilizan. El usuario debe leer los términos descritos antes de facilitar sus datos personales.
  • Política de Cookies. El usuario debe conocer qué tipos de cookies se usan en el sitio Web y con qué fines. Hay que declarar todas las cookies incluso las de terceros. Por ejemplo, las de Google Analytics, Adsense y similares.
  • Coletillas legales. Tendrás que añadir unas pequeñas coletillas con un resumen del tratamiento de esos datos en todos los formularios, cajetines de comentarios, emails y newsletters.

Modifica los formularios de captación de datos

Sí querida, ahora necesitas que quien comente, se ponga en contacto contigo o se suscriba te de su permiso explícito.

Este permiso debe tener 3 características fundamentales para que sea legal, deberá ser:

  1. expreso: no vale el consentimiento tácito.
  2. específico: ligado a una finalidad concreta y no genérico.
  3. verificable: debes poder acreditar que lo has obtenido.

Básicamente tienes que incluir un checkbox para que el usuario acepte explícitamente la Política de Privacidad.

Y la coletilla con el resumen del tratamiento de esos datos.

Por supuesto el checkbox no podrá estar marcado por defecto y además hay que guardar la ‘prueba’ de que fue marcado.

¿Y qué pasa con mis antiguos suscriptores?

A estas alturas seguro que ya has estado recibiendo unos cuantos emails pidiéndote que confirmes que quieres seguir suscrito a determinadas listas de correo.

Sí, a tí también te va a tocar hacerlo.

Y a quien no lo confirme deberás darlo de baja…

Mira el lado bueno, al menos podrás hacer una buena purga en tu lista de correo…

Dos opciones tienes:

  • volver a crear la lista de correo bajo la normativa RGPD.
  • enviar esos emails para que tus lectores te confirmen que aceptan el tratamiento de sus datos”.

También cabe preguntarse si nuestro es legal. Para responder a esta pregunta, hay que señalar que “esta es la primera pregunta que tienes que hacerte si tienes un blog. Ya sabemos que internet es una especie de jungla con toda clase de fauna, el mundo blogging también. ¿Cómo puedes diferenciarte del resto de fauna? ¿Qué puedes hacer para proteger tu trabajo y tu imagen profesional? En los últimos años asistimos al auge de la cultura blogger y el autoempleo. Muchos profesionales como tú y como yo, decidimos lanzarnos a la aventura de crear nuestra propia marca y una comunidad en la que trabajar y desarrollar una estrategia que nos permitiera consolidar esa audiencia y monetizarla. Algunos decidimos ofrecer servicios, otros productos, el caso es que para todos, nuestra materia prima es la información personal, los datos personales de usuarios, suscriptores y clientes.
Siendo que nuestro negocio depende de esa información…¿Qué estamos haciendo para protegerla como toca? ¿Qué garantías y elementos de confianza estamos ofreciendo a nuestros usuarios para que puedan confiarnos sus datos? ¿Que estamos haciendo para que nuestro trabajo y nuestra reputación no se vean amenazados por una denuncia? Pocos profesionales son conscientes de que un negocio digital significa gestionar muchas identidades digitales. Cuando un cliente, un usuario, un colaborador llega a tu negocio a través de un formulario de contacto…

A continuación hay que señalar que “el principal reto para todo negocio online consiste en reducir la incertidumbre del usuario sobre la honradez de la empresa o profesional que está detrás del sitio web y demostrar la responsabilidad y seriedad a la hora de gestionar su información personal y sus requerimientos.

Si pretendes consolidarte como profesional digital debes ser un eficaz gestor de información, en especial, de información personal y no es que lo diga LEXblogger, un estudio sobre los determinantes de la confianza del comprador, afirma en sus conclusiones que “en las ventas online la creación de confianza es fundamental para conseguir un mayor desarrollo del comercio electrónico”. También afirma que “No podemos obviar que en el contexto online es más difícil retener consumidores porque existe un gran número de alternativas, compiten además con los establecimientos físicos y la ausencia de confianza y el alto riesgo percibido desempeñan un papel de freno para la compra virtual”.

¿Por qué debo adecuarme al nuevo reglamento europeo y a la LSSI-CE?

Aunque parezca una obviedad, lo cierto es que vivimos en una sociedad digital que ha transformado la forma en que nos relacionamos con nuestros clientes. Los sistemas de
captura y tratamiento de información personal se han multiplicado. Los servicios de Internet (redes sociales, blogs, foros, wikis, microblogging, etc.) constituyen canales multidireccionales y abiertos, que permiten a sus usuarios otros niveles de interacción y comunicación, a la vez que ofrecen nuevas posibilidades de colaboración, expresión y
participación.
Cómo te explicaba antes, cuando tu negocio se desplaza a entornos digitales, tu mayor activo lo constituye la información personal. No saber gestionarla decuadamente es la torpeza más contundente que puedes cometer. No es casual que el nuevo reglamento de protección de datos europeo refuerce los derechos de los usuarios e imponga más obligaciones y diligencia a quienes tratan esos datos.

¿Cómo puedes ahorrar dinero aplicando la legalidad a tu blog?

Puedes ahorrar muchísimo dinero si te tomas en serio la información personal de todos aquellos que te confían sus datos personal. La adecuación legal de tu blog te permite
ahorrar en la medida en que eliminas o mitigas riesgos inasumibles como:

  1. El derivado del coste de las sanciones: Las cuantías de las sanciones por incumplimiento de la norma se incrementan respecto a la LOPD, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual, no se tú, pero un 4% de una facturación anual es mucho dinero para cualquiera.
  2. El derivado de indemnizaciones:El RGPD reconoce la posibilidad de los usuarios de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales, algo que no contemplaba la LOPD y puede ser un negociante
    para los espabilados.
  3. El derivado de la mala gestión de la información: Como la pérdida de datos,(por no disponer de sistemas de copias de seguridad regladas y automatizadas) los tiempos de localización de la información, los costos derivados de pérdida de confianza de tus
    clientes.
  4. El derivado de la pérdida de competitividad: no poder acreditar cumplimiento normativo hace que pierdas competitividad, los clientes optarán por quienes ofrezcan mayores garantías y seguridad.

Y por supuesto, dejar evidencias claras de tu respeto por tus usuarios, clientes,  colaboradores y personas relacionadas con tu negocio.

Los principales cambios que introduce el nuevo reglamento europeo de protección de datos.

TODAS las empresas y autónomos, con independencia de la forma jurídica, en el momento en que tengan una base de datos de usuarios, suscriptores, clientes, empleados, etc. están obligadas a cumplir con el nuevo reglamento de protección de datos (RGPD)y las que actúen por Internet –aunque sólo tengan una página informativa-, por la LSSICE o LSSI.
Esta nueva legislación de protección de datos, por muy antipática que resulte para algunos, en realidad intenta promover una cultura de responsabilidad y profesionalidad frente a la información de carácter personal que manejan los profesionales y empresas.

Las principales características del RGPD:

  • Tratamientos: deja de hablarse de ficheros para hablarse de tratamientos. Según el tipo de tratamientos de realices, deberás establecer el nivel de riesgo y en función de este, decidir las medidas de seguridad más adecuadas. Se trata de un nuevo enfoque de la seguridad, más proactivo que reactivo conocido como “accountability”.
  • Registro de tratamiento de datos: el RGPD suprime el requisito de notificar los ficheros como hasta ahora que se sustituye por un control interno en forma de registro de las
    operaciones de tratamiento de datos que se realicen, una mezcla entre los actuales ficheros y el documento de seguridad.
  • Evaluaciones de impacto sobre la privacidad: hay algunos tratamientos que requieren un análisis de impacto sobre la privacidad previo al tratamiento.
  • Datos especialmente protegidos: Se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
  • Mayores requisitos informativos: se exige mayor claridad y transparencia a la hora de recabar y tratar información personal. Será necesario proporcionar información completa y de forma sencilla al usuario que le permita tomar decisiones en función de la información recibida. En este sentido, se recomienda informar por capas para facilitar la comprensión del usuario y la toma de decisiones. Cláusulas complejas, demasiado técnicas o farragosas deben ser suprimidas y sustituidas por un lenguaje claro y sencillo que sea comprensible por cualquier usuario.
  • Consentimiento expreso: a diferencia de la LOPD, el consentimiento para poder tratar datos de carácter personal ha de ser expreso, inequívoco, libre y revocable. Deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito o por defecto, toca adecuar todos los formularios para legitimar este consentimiento.
  • Colaboradores con quien compartas información de carácter personal: se exige mayor diligencia a la hora de seleccionar a los proveedores o encargados de tratamiento, por tanto, deberás elegir solo aquellos que aporten suficientes garantías de  cumplimiento normativo, pero recuerda, si eres tú el encargado de tratamiento, te las pedirán también a ti.
  • Declaración de brechas de seguridad: en caso de producirse una brecha de seguridad que comprometa la privacidad de los datos personales de los que eres responsable deberás comunicarlas a las autoridades de control y según el tipo de información
    que haya sido comprometida, también a los afectados, tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
  • Mayores garantías en las transferencias internacionales de datos: se exigen  mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la Unión Europea.
  • Incremento de sanciones: Ya hemos hablado de esta notoria subida en las cuantías de las sanciones por incumplimiento de la norma, pudiendo llegar a los 20 millones de
    euros o el 4% de la facturación global anual .
  • Nuevos derechos: Aparece el derecho al olvido que permite a los usuarios revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de
    internet. También aparece el
    derecho a la portabilidad y el de limitación de tratamiento como novedades legislativas.

Cómo adecuar tu blog a los nuevos requisitos legales

Ya conoces la importancia de esta regulación de protección de datos en tu actividad, ahora toca conocer lo que tienes que hacer si quieres ofrecer las necesarias garantías a tu
comunidad.

Hay dos tipos de web o blog principales:
Los que generan ingresos (directos o indirectos)
Los que no generan ingresos

Siempre que recabes información de carácter personal en tu blog o web, debes cumplir obligatoriamente con el RGPD, tanto si obtienes ingresos como si no de la explotación de esos datos. En caso de existir ingresos directos derivadas de la propia actividad del sitio web por las actividades de comercio electrónico que realices, o indirectos, por la publicidad en su sitio web; debe cumplir además con la LSSI-CE (Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio electrónico) establece el marco jurídico para garantizar que las actividades comerciales a través de Internet tengan las mismas garantías que las ventas en entornos off line. Por tanto, para abrir un comercio de cara al público, tienes que cumplir una serie de requisitos fundamentales sin los cuales, sería imposible vender absolutamente nada. En Internet esto es igual y con mucha más razón.

Los niveles de legitimación legal de una web

Hay niveles de cumplimento que permiten establecer el nivel de legitimidad de una web o blog.

  • Los que trabajan con máximas garantías legales.
  • Los que cumplen los mínimos exigidos.
  • Los que no cumplen ni siquiera, con los mínimos.

Cómo Conseguir un blog Legal al 100%

Paso 1: Revisar y ajustar todos los textos legales de tu web a las nuevas exigencias del RGPD

Recuerda que el nuevo reglamento exige nuevos requerimientos informativos. Tendrás que revisar tu aviso legal, tu política de privacidad y la política de cookies, así como añadir los elementos informativos necesarios. La redacción debe ser muy clara, fácil de entender y accesible. Este requisito obedece al principio de transparencia y obliga a informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos. Esta obligación recae sobre el Responsable del Tratamiento.  El nuevo reglamento establece que esta información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado. No puedes pensar en tener un blog legal sin contar con los elementos legales que suministran la información que el usuario tiene derecho a conocer antes de facilitar sus datos. Deberás incluir una primera capa informativa que resuma los aspectos más relevantes relativos a ese tratamiento y una segunda capa que complete esa información.

Los nuevos requisitos exigen que informes sobre los siguientes aspectos:

  • La identidad del responsable de la gestión y si procede, del delegado de protección de datos, otra novedad que hasta ahora no existía esa figura. Una web que no
    proporcione información completa del responsable, no podrá considerarse nunca una web legal.
  • La identidad de los destinatarios o las categorías de destinatarios de los datos personales, algo que muy poquitos hacen y que incluye informar de todos los
    servicios de terceros que utilices en tu web y que almacenen también esos datos, como Hosting, plataforma de e-mail marketing, servicio de captación de leads, etc.
  • Advertir sobre qué tipo de datos se están recogiendo, utilizando o consultando, la medida en que dichos datos son o serán tratados y de las posibles consecuencias de no facilitar tales datos.
  • Las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento.
  • El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto también es una novedad)
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso
    a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos. En la actual Ley de protección de datos, ya contábamos con los derechos ARCO,
    ahora se impone un nuevo derecho, el de portabilidad que implica el traspaso de información de una empresa a otra si el usuario o cliente lo solicita.
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles para segmentación por ejemplo cuando esta elaboración tenga consecuencias jurídicas para el afectado.

¿Dónde deben aparecer los elementos informativos?

LEXblogger ya está adecuado al nuevo reglamento europeo en materia de protección de datos, puede servirte de ejemplo para ver cómo y dónde están integrados estos elementos.

  • Footer de la web: aquí debes incluir los textos legales completos. Estos deben ser accesibles en todas las páginas de la web. Como mínimo deben aparecer: el aviso legal,
    política de privacidad y política de cookies.
  • En las cláusulas informativas imprescindibles, no puedes olvidarte de la redacción del texto legal al pie de formulario. En todos los formularios de captura de información de la WEB, siempre deberás requerir el consentimiento del usuario de forma expresa y
    permitir la aceptación de la política de privacidad antes de validar sus datos.

Los datos que requieras siempre deben ser pertinentes y adecuados a la finalidad, tal y como dispone el apartado 1 del artículo 4 de la LOPD, los datos de carácter personal
sólo se podrán recoger para su tratamiento, cuando sean
adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

  • Sistema de validación de usuarios: para autentificar al usuario mediante un mensaje de correo electrónico confirmando el alta con una coletilla legal que acredite el deber de
    información (art Nº 5), a través de un proceso doble opt in, lo que sí acreditaría un consentimiento expreso con los términos del blog o web.
  • Condiciones de contratación: En el caso de un e-commerce o en donde existan  mecanismos de pago para contratación de productos o servicios de forma online, deberás añadir las Condiciones de contratación: Tu web debe poner a disposición de los
    usuarios las condiciones generales de contratación de forma que puedan ser almacenadas y reproducidas por los usuarios.

La LSSI establece que el prestador, antes de iniciar la contratación, debe informar al usuario, pudiendo hacerlo a través de su web, de forma «clara, comprensible e inequívoca»
sobre:

  • Los trámites o pasos a seguir para celebrar el contrato.
  • Si el documento generado, el contrato, va a ser almacenado por el prestador.
  • Los medios técnicos que pondrás a disposición del usuario/consumidor para identificar y corregir errores en los datos, la lengua o lenguas en que se podrá formalizar el
    contrato.
  • La lengua o lenguas en que se podrá formalizar el contrato.
  • Creación de mecanismos de aceptación de términos y condiciones de uso tras habérsele facilitado información clara y completa sobre la identidad del prestador de servicios, así como información relativa a las condiciones de contratación.

Por último, debes crear un procedimiento para establecer comunicaciones comerciales con clientes y con usuarios de internet para adecuarlas a la normativa vigente. Ya no vale tener un blog con pasamontañas. No cometas ese error garrafal. Necesitas un blog legal que
no te ponga en evidencia ni te exponga a penalizaciones.
Las nuevas condiciones de venta legal abogan por una mayor transparencia por parte de los portales, información nítida y mayores garantías legales.

Paso 2: Requiere siempre el consentimiento

Esta es una gran novedad del nuevo reglamento y posiblemente, la que más afecta a la dinámica de un blog. El nuevo reglamento exige que todo acto de requerimiento de datos personales, deba ir precedido por un requerimiento de consentimiento expreso. Este consentimiento debe tener 3 características fundamentales para que sea legal:

  1. Debe ser expreso: no vale el consentimiento tácito.
  2. Debe ser específico: ligado a una finalidad concreta y no genérico.
  3. Debe ser verificable: debes poder acreditar que lo has obtenido.

Debes desterrar por tanto, los formularios de suscripción, contacto, registro etc., que no incluyan mecanismos informativos claros y no requieran el consentimiento de los usuarios.
Debes olvidarte por tanto de presuponer el consentimiento del usuario por inacción u omisión porque eso ya no será válido. El silencio, las casillas pre marcadas o la
inacción del usuario al requerir datos personales
no serán legales de cara al nuevo reglamento de protección de datos. ¿Esto qué significa? que hay varios tipo de cajas de captación de leads que se utilizan actualmente que ya no podrás utilizar en tu blog, por ejemplo:

  1. Los pop ups de la home: ya sabes, la típica caja más o menos invasiva que pide un correo, este tipo de cajas ya no serían legales.
  2. Las cajas de suscripciones en el sidebar: este tipo de cajas tampoco serán legales
  3. Cualquier caja de suscripción tipo banner o caja flotante que no incluya un checkbox para expresar el consentimiento y una cláusula informativa visible y expuesta como la que tenemos en LEXblogger.

Un ejemplo de check box legal lo muestra nuestro formulario de consentimiento:

Paso 3: ¿Qué ocurre con los suscriptores anteriores al reglamento?

Y aquí la cuestión central más complicada que te afecta directamente: según el nuevo reglamento, no basta solo con modificar todos los formularios de con tacto y añadirles
un check box:
Debes convertir todos los consentimientos tácitos que hayas obtenido hasta ahora y convertirlos en explícitos si quieres seguir trabajando con ellos.
Esto parece traumático, pero lo cierto es que deberás poder acreditar el consentimiento en los términos que exige el nuevo reglamento, no solo de los consentimientos que recojas a partir de mayo de 2018, sino de todos tus suscriptores. Podrías regularizarlo enviando un
boletín en donde les invites a confirmar su suscripción y otorgarte un consentimiento expreso. Para eso, deberás conducirlos hacia tu nuevo formulario de suscripción y pedirles que marquen la casilla de consentimiento siguiendo las recomendaciones anteriores. De esta manera, podrás acreditar ese consentimiento expreso y estar cubierto ante cualquier requerimiento”.

Como conclusión, se puede decir que más vale ir adaptando nuestro blog o página web a la normativa de protección de datos, antes que lamentarnos de las sanciones que nos impongan según la falta que hayamos cometido según la normativa actualmente vigente.

FUENTES:

 

  1. Cómo adaptar tu blog al Reglamento de Protección de Datos: https://www.genwords.com/blog/rgpd-adaptar-blog-reglamento-proteccion-datos
  2. Cómo cumplir el Reglamento General de Protección de Datos en tu blog: https://miposicionamientoweb.es/reglamento-general-de-proteccion-de-datos/
  3. Cómo adaptar tu página web al RGPD y a la Ley de Protección de Datos: https://www.ciudadano2cero.com/pagina-web-rgpd-proteccion-datos/
  4. Tengo un blog, ¿debo cumplir la LOPD?: https://www.elabogadodigital.com/tengo-un-blog-debo-cumplir-la-lopd/
  5. Pasos para adaptar tu blog al RGPD y cómo se ha hecho en Blogpocket: https://www.blogpocket.com/2018/04/08/adaptar-blog-rgpd/
  6. Cómo adaptar tu blog a la nueva GDPR: https://jadewebs.com/como-adaptar-tu-blog-a-la-nueva-gdpr/
  7. Cómo cumplir el RGPD en tu blog de forma rápida, clara y sencilla: https://desenredandolared.com/2018/08/02/como-cumplir-el-rgpd-en-tu-blog-de-forma-rapida-clara-y-sencilla/
  8. GDPR: TOP 10 novedades del nuevo Reglamento Europeo de Protección de Datos: https://blog.signaturit.com/es/top-10-novedades-del-nuevo-reglamento-europeo-de-proteccion-de-datos
  9. GDPR vs LOPD, ¿Cómo le afecta a mi empresa el cambio?: https://www.metafrase.es/blog/gdpr-vs-lopd-como-me-afecta-el-cambio/
  10. Cómo adaptar tu página web al RGPD y a la Ley de Protección de Datos: https://www.ciudadano2cero.com/pagina-web-rgpd-proteccion-datos/#Plugins_para_adaptar_un_blog_WordPress_a_la_Ley_de_Proteccion_de_datos_y_RGPD_Plugins
  11. ¿Es mi blog legal? – Como legalizar mi blog paso a paso – Guía completa: https://www.lexblogger.com/blog-legal-paso-a-paso/

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s