El RGPD o Reglamento general de protección de datos está al caer y os recomiendo poneros al día. Nunca está de más disfrutar del placer de la legalidad, pues me vais a creer si os digo que ahora más que nunca. ¡Toma nota y prepara tu blog y web para la nueva RGPD!
A todos nos gusta el marketing digital y temas más divertidos que este, ¿verdad? Pero bueno, es necesario y obligatorio ponerse al día con estos temas legales si tienes un blog o una web.
Este post súper útil que vas a leer a continuación es obra de Ana María Amieva, consultora de marketing online.
El 25 de mayo está a la vuelta de la esquina. Mi blog pronto estará listo para cumplir con todos los nuevos requisitos, de ello se están encargando nuestros amigos de Marketing Onlaw. Gracias, David y Daniel.
¡Ahora es el momento de que tomes nota para que el 25 de mayo cumplas con todos los requisitos de la nueva RGPD!
Las políticas de protección de datos cada vez exigen más en el mundo online y esta vez traen consigo sanciones considerables. Así es que si quieres respirar tranquilo, revisa tu proyecto online y comprueba que cumpla con el nuevo reglamento europeo de Protección de datos.
En este post podrás leer:
- ¿Qué es el Reglamento General de Protección de Datos?
- ¿Cuándo entra en vigor el RGPD y a quién afecta?
- ¿Por qué actualizar mi Blog o web en Política de datos?
- Exigencias de la RGPD que afecta a los negocios online y a los blogs
- 1. La información y los textos legales
- 2. Darse de baja de los boletines.
- 3. Consentimiento explícito de la política de privacidad.
- 4. Registro y tratamiento de datos
- 5. Establecer accesos seguros al sistema de la empresa y a su base de datos
- 6. Registro de riesgos
- 7. DPD (Delegado de Protección de Datos) ¿quién lo necesita?
- Nuevos Principios del RGPD
- Conclusión
¿Qué es el Reglamento General de Protección de Datos?
El Reglamento General de Protección de Datos es la nueva ley en relación a protección de datos de carácter personal en el seno de la Unión Europea. Con el avance trepidante de las nuevas tecnologías era necesaria una ley que se adecue al nuevo uso de internet y al tratamiento comercial de los datos personales que realizan las grandes empresas.
Con esta nueva ley se garantiza una mayor protección del usuario, reforzando la privacidad y los derechos de este.
¿Qué pasa con la LOPD?
Hasta ahora el tratamiento de datos de carácter personal era regulado en España por la LOPD. Con la llegada de la nueva ley de protección de datos las dos leyes siguen en funcionamiento.
Sin embargo el reglamento provoca un «desplazamiento normativo» de la LOPD en lo que se oponga a la nueva ley, esto es, en el caso que una pise a la otra es la RGPD la que tiene la última palabra.
Esto, me temo, acarreará algún problema que otro, no está de más que consultemos con un profesional, sobre todo si lo que tenemos entre manos es un ecommerce.
Entender la necesidad de la RGPD.
Debemos tener claras unas ideas básicas que nos ayudarán a entender mejor las exigencias y obligaciones que marca el Reglamento general de protección de datos europeo:
- El usuario:
- El usuario es dueño en exclusiva de su identidad y sus datos.
- Es el usuario el que nos da permiso para utilizar sus datos hasta donde quiera y hasta cuando quiera.
- El usuario tiene derecho al acceso, corrección, eliminación y cancelación, evitar su comercialización y la portabilidad de sus datos.
- Ante lo que parece una obviedad el RGPD exige al responsable de un Blog o Web corporativa:
- Responsabilizarse de la información que recogemos de nuestros usuarios.
- Respetar nuestras obligaciones en la gestión de la información
- Facilitar al usuario el ejercicio de sus derechos.
¿Cuándo entra en vigor el RGPD y a quién afecta?
La nueva ley de protección de datos, Reglamento (UE) 2016/679, entró en vigor el 25 de mayo de 2016 y será de plena aplicación el 25 de Mayo de 2018.
[easy-tweet tweet=»El 25 de mayo es el día que entra en vigor la RGPD. ¿Cumple tu blog o web con esta nueva norma Europea? «]Es esta fecha tope para que tu blog o Web corporativa cumplan los requisitos del Reglamento Europeo de Protección de Datos.
El RGPD afecta a todo tipo de empresas, desde grandes empresas o Pymes, hasta personas físicas, sociedades o clubes que procesen datos de carácter personal.
Te afecta si eres:
-Una empresa (gran empresa o Pyme)
-Persona física
-Sociedades
-Clubs
Además no solo se aplica a las empresas con domicilio social en Europa, sino a empresas con domicilio social fuera de Europa que presten servicios a ciudadanos europeos, como es el caso de Amazon por ejemplo.
Las obligaciones de cada empresa serán proporcionales al riesgo que implique el tratamiento de los datos. Esta nueva ley, como veréis va más allá que la LOPD, vamos a tener que poner patas arriba nuestra plataforma online y tener muy clara la finalidad de la recogida de datos de carácter personal.
¿Por qué actualizar mi Blog o web en Política de datos?
- Porque es obligatorio.
Actualizarse en lo que al RGPD se refiere es obligatorio, si no quieres recibir una buena sanción, y no es broma. Las sanciones pueden llegar a los 20 millones de euros o hasta un 4% de los ingresos anuales. Infórmate bien sobre qué es lo que tienes que hacer, en este artículo te diremos las claves y podrás hacerte una idea más clara de lo que la nueva ley de protección de datos nos exige.
[easy-tweet tweet=»Incumplir la nueva RGPD puede conllevar multas de hasta 20 millones de euros o un 4% de los ingresos anuales. ¿Sabes cómo protegerte?» via=»no» usehashtags=»no»]- Porque ganas confianza y profesionalidad.
Nuestro Blog o Web tiene que ser un lugar seguro para el usuario, un lugar que genere confianza si queremos que el usuario interactúe con nosotros y compre nuestros servicios o se suscriba nuestra newsletter.
En 2017 la encuesta de la asociación para la investigación de medios de comunicación (AIMC) revelaba que el 54% de los usuarios se sentía muy o bastante vigilado e internet y marcaba la seguridad y la privacidad como un problema para el 44,3 y el 34,1 de los usuarios respectivamente.
Estos datos los contrastaremos con la última encuesta del 2018, que se publica a principios de este año, La 20º navegantes en la Red que está a puntito de ser publicada, pero todo apunta a que estas cifras van en aumento.
El usuario busca confianza y seguridad. No quiere tener miedo ni sentirse expuesto ni investigado. Estrategias y técnicas de venta como remarketing, Big Data, programas que recaban la información de un usuario que ha introducido su DNI en un formulario, la geolocalización, etc.
Sin duda es un mundo apasionante para los que estamos en el back off de la publicidad, pero tremendamente inquietante para el usuario que no quiere exponerse en internet.
Ahora podemos entender mejor que actualizar nuestra Web o blog a la nueva ley de protección de datos o RGPD, con sus requisitos y exigencias y presumir de que lo hemos hecho, es algo que nos beneficia.
Genera confianza y la confianza fideliza.
Exigencias de la RGPD que afecta a los negocios online y a los blogs
Como persona responsable de un Blog o plataforma digital debes conocer tus obligaciones ante el RGPD, cómo te afectan y lo que supone su adecuación legal, así como las consecuencias de no cumplirlas.
A groso modo te diré que, como responsable de un Blog o plataforma Web, tienes la obligación de saber qué datos recoges, cuándo y cómo los has recogido, dónde los almacenas, hasta cuándo los vas a seguir almacenando, quién los maneja y con qué objetivo.
Y todo esto debe ser informado al usuario, que tiene derecho a acceder a su base de datos, modificarla, borrarla o traspasar sus datos a otra plataforma cuando quiera.
Tener en cuenta todos los derechos del usuario nos ayuda a la hora de plantear las actualizaciones y cumplir con la nueva ley de protección de datos.
1. La información y los textos legales
Toda la comunicación debe ser clara, concisa y trasparente. Fácil de entender y con la máxima trasparencia. Si quieres empezar con buen pie te recomiendo hacer una auditoría de la información.
En un primer momento debemos saber de dónde proceden los datos que tenemos y con quién los compartimos. Esto nos ayudará a actualizar los textos legales y en la gestión y procesamiento de datos. No olvides que, cuando menos lo esperes, puedes tener que rendir cuentas.
Cómo deben ser los textos legales
Los textos legales deben aparecer accesibles y visibles en todas las páginas por lo que su ubicación, como ya sabemos, puede ser el footer de la página, eso sí con un enlace que lleve al texto completo.
En la política de privacidad tendrás que explicar claramente la base legal para procesar los datos, periodo de retención de datos, la finalidad del tratamiento de los datos recogidos y el derecho a presentar una queja o la eliminación de sus datos de la base de datos.
En la política de cookies solo deberás seleccionar servicios y herramientas de terceros que cumplan con el RGPD y que garanticen un tratamiento seguro de la información que les proporcionas. Y recordemos que debemos (aunque casi nunca se hace) ofrecer la posibilidad de negar las cookies, de forma que se pueda seguir navegando sin el funcionamiento de esas cookies.
2. Darse de baja de los boletines.
Debemos cumplir los requisitos legales de información y añadir en nuestras newsletter un enlace con la posibilidad de que el usuario pueda darse de baja y eliminar su suscripción, si lo desea.
3. Consentimiento explícito de la política de privacidad.
El consentimiento explícito de la política de privacidad, ha cobrado especial relevancia con respecto a la LOPD. Debemos pedir consentimiento explícito de aceptación de la política de privacidad en cada uno de los formularios, mediante un acto afirmativo claro: con una casilla de aceptación y un enlace al documento completo de «política de privacidad».
Según el RGPD:
La aceptación no puede ser tácita y debe ser verificable.
Esto hace que todas las empresas o plataformas online deberán dotarse de sistemas que registren los consentimientos.
Con respecto a los menores, la edad en la que pueden aceptar su propio consentimiento para el tratamiento de sus datos es de 16. Cada estado puede establecer el límite de edad no inferior a los 13, el límite de edad en España es 14 años (este apartado está orientado sobre todo para redes sociales).
4. Registro y tratamiento de datos
Debemos registrar todos los datos de carácter personal que recojamos.Registro de los consentimientos de usuario. Los consentimientos de la política de privacidad han de ser verificables, por lo que tenemos que llevar un registro de todos los contactos que hayan aceptado la política de privacidad. Esto va a llevar a desempolvar la base de datos y actualizarla, ya que solo podremos utilizar los datos de los usuarios que hayan dado su consentimiento.
5. Establecer accesos seguros al sistema de la empresa y a su base de datos
Debemos asegurar el correcto tratamiento y almacenamiento de los datos de clientes y usuarios. Tomar medidas especiales para asegurar ataques de terceros, pérdida de datos o uso indebido de estos.
- Obligación de comunicado. Si ocurriera un ataque y la seguridad del usuario está en peligro tenemos la obligación de comunicárselo al usuario y a las autoridades competentes (agencia española de protección de datos AEPD, la Autoritat Catalana de Protecció de Dades APDCAT, y la Agencia Vasca de Protección de Datos AVPD). Siendo estas agencias las que nos puedan solicitar la base de datos.No todos son notificables, solo aquellos donde el individuo es probable que sufra algún tipo de daño, como por robo de identidad o una violación de identidad. El hecho de no informar de una infracción acarrea multas.
- La recopilación de datos acorde a la actividad. La recogida de datos por parte del responsable del Blog o de la empresa debe ser justa, legítima y explícita. No debemos recopilar más datos de los precisos para llevar a cabo nuestra actividad.
- Registro y tratamiento de datos de manera electrónica. Para facilitar los procesos, el acceso a datos por parte del usuario o la rendición de cuentas por parte de la administración, el registro y el tratamiento debe ser realizado electrónicamente.
6. Registro de riesgos
No estaría de más hacer un registro de riesgos, un análisis de los posibles riesgos y el impacto que puede llegar a tener, e identificar áreas que podrían causar problemas para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen.
Por pequeña que sea nuestra empresa ahora sabemos que podemos ser sancionados y debemos evitar cualquier contratiempo.
7. DPD (Delegado de Protección de Datos) ¿quién lo necesita?
El RGPD exige un Delegado de Protección de Datos que se dedique al seguimiento de informes y gestión e quejas, pero no en todos los casos.
Si bien tú, que gestionas un Blog o una Web corporativa, eres el responsable del tratamiento y las gestiones de los datos, solo en el caso de grandes empresas de más de 250 trabajadores o empresas que necesiten un seguimiento sistemático y periódico de los datos (investigación de mercados, análisis de riesgos, …) o que traten datos protegidos (religiosos, raciales, sexuales, de salud,…) estarán obligadas a contratar un DPD.
Este tipo de empresas también se verán obligadas a realizar una evaluación de impacto y protección de datos y establecer procesos de información y mecanismos para la detección de una violación de datos personales.
Nuevos Principios del RGPD
Principio de Responsabilidad (accountability).
La responsabilidad ante esta nueva ley de protección de datos debe ser una responsabilidad proactiva. Las organizaciones tienen que demostrar que cumplen las exigencias del RGPD y son responsables de elaborar las políticas, procedimientos y controles que necesiten para el tratamiento de sus datos.
Principio de Protección de Datos por defecto y desde el diseño.
Se debe cumplir con el RGPD desde el primer momento desde el que se diseñe una empresa, producto o servicio que lleve a cabo tratamiento de datos.
Principio de Transparencia.
La información sobre avisos legales y política de privacidad debe ser lo más clara y concisa posible, totalmente legibles para el usuario medio, facilitando su comprensión y la información sobre los procedimiento y derechos de este.
Principio de Rendición de Cuentas.
Por el Principio de Rendición de Cuentas deberás acreditar, siempre que se te pida, las medidas de seguridad que exige el RGPD, por este motivo tienes que llevar un registro pulcro de todos los consentimientos de política de privacidad, recuerda que el consentimiento para que sea legítimo ha de ser verificable.
Conclusión
Para poder llevar a cabo la actualización del RGPD en nuestro Blog o Web corporativa es necesario revisar nuestras estrategias y objetivos, reenfocar nuestros intereses y tener claro la utilidad de cada uno de los formularios que utilizamos.
Sin lugar a dudas, aunque parezca una obligación pesada, la actualización del Blog a la nueva ley de Protección de datos o Reglamento General de Protección de Datos europeo, puede significar un soplo de aire fresco, un replanteamiento de objetivos, incluso de modelo de negocio, una nueva oportunidad, ¡quién sabe!
Ana María Amieva. Consultora de Marketing Online. Trabajo estrategias de venta basadas en el contenido, posicionamiento web y publicidad online. Redactora freelance. Más de 5 años en la gestión de proyectos digitales para PyMEs, colaboro con agencias de publicidad.
Muy trabajado Alex!! Enhorabuena 🙂 Sin duda un tema que nos afecta a todos y pocos estamos adaptándonos a lo que nos viene.
Qué pasa Javier! Me alegro que te haya gustado, crack. Un abrazo!
Wow! Gracias por la info Alex. Esta mañana no hacía más que ver el hasgtag de #RPGD y no entendía nada. Y justo he dado con tu artículo y me lo ha aclarado todo. Gracias!
Hola Andrea, me alegro que te haya sido útil. Todo el mérito es de Ana María. Un saludo!
Muchas gracias Álex por la confianza. Intentaré solucionar cualquier duda que surja al leer el artículo, así es que no dudéis en comentar! para eso estamos 😉
Si hago una venta y me pagan con una tarjeta VISA, ¿el problema de la protección de los datos del comprador, es de VISA?.
Hola José,
Te comento lo que han dicho en Marketing Onlaw: en virtud del principio de responsabilidad proactiva, hemos de asegurarnos de que nuestros proveedores y encargados del tratamiento ofrecen las suficientes garantías de cumplimiento en materia de seguridad y privacidad, por lo que ahí hay también responsabilidad por parte del eccomerce o tienda en la que se realizan las compras. En este caso, Visa ofrece esas garantías https://www.visasecuritysen….
Por otro lado, desde el momento en que se utilizan datos en tu web para alcanzar unos determinados fines, como la compra, hay responsabilidad, pues tu plataforma entra en el ciclo de vida de esos datos. De este modo, si aceptas Visa o usas Paypal u otra plataforma tienes que verificar estas cuestiones de compliance.
Ahora bien, si preguntas por vulneraciones de estas plataformas o las hackeen, puede llegar el caso en que tengas que avisar a los usuarios (eso depende de distintos aspectos pero, principalmente, en los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a los interesados).
¡Espero que te haya sido útil!
Pienso, por aclarar un poco las cosas, o por polemizar. Me parece en este caso, que estamos un poco paranoicos. Solamente son: nombre, dirección, teléfono, creo que se pueden conseguir en cualquier sitio. Los números de la tarjeta, yo ni los veo, el comprador los escribe en el entorno de VISA o MASTER CARD, no puedo ser responsable. Esto es como si en el trabajo le dices a una compañera, hola buenas que día tan buen pare que hace hoy, y te acusa de acoso.Paranoia.
Pago a los trabajadores por transferencia especial para salarios, solo tengo que poner la cantidad, es dentro del entorno seguro del banco. Entiendo que este es el responsable de custodiar todos los datos, así como los de las tarjetas, lo serán de custodiar los números de estas.
Tengo los nombres, dirección y teléfono de los clientes por si hubiera alguna reclamación; y tengo las nóminas firmadas lógicamente. ¿Cómo tengo que custodiar esto?, según la LOPD.
Gracias de nuevo y un saludo.