¿Qué medidas debes adoptar para que tu blog sobreviva a la nueva Ley Europea de Protección de Datos?
Contenidos
Ya te hemos explicado el qué, el por qué y para qué el nuevo reglamento traerá nuevos cambios. Así que hemos llegado al pollo del arroz con pollo que es el cómo.
El consentimiento como eslabón esencial en la nueva Ley Europea de Protección de Datos
Este es un punto clave de la nueva Ley de Protección de Datos Europea si tienes un blog o una web y el que más trabajo de ajuste va a significar.
El nuevo reglamento de protección de datos exige que todo acto donde se soliciten datos personales, debe ir precedido por un requerimiento de consentimiento expreso.
Este consentimiento debe tener 3 características fundamentales para que sea legal:
- Expreso: no vale el consentimiento tácito.
- Específico: ligado a una finalidad concreta y no genérico.
- Verificable: debes poder acreditar que lo has obtenido.
Di adiós a los formularios de contacto, suscripción, registro etc., que no incluyan mecanismos informativos claros y no requieran el consentimiento expreso de los usuarios.
Debes olvidarte por tanto de presuponer el consentimiento del usuario por inacción u omisión porque eso ya no será válido en los formularios web my friend.
El silencio, las casillas pre marcadas o la inacción del usuario al requerir datos personales no serán legales de cara al nuevo reglamento europeo de protección de datos.
Y aquí la cuestión central más complicada que te afecta directamente: no basta solo con modificar todos los formularios de contacto y añadirles un check box: Debes coger todos los consentimientos tácitos que hayas obtenido hasta ahora y convertirlos en explícitos si quieres seguir trabajando con ellos.
Aquí sé que llegamos al punto más neurálgico y crítico para todos los que tenemos una lista de suscriptores. Porque si no te aseguras de reconvertir esa lista y conseguir un consentimiento expreso, cualquiera de ellos puede convertirse en un potencial peligro como tenga la mala leche de denunciarte.
Por otra parte, si tienes una inspección de datos, deberás poder acreditar que cuentas con todos los consentimientos expresos de la gente cuya información personal administras.
¿Cómo puedes adaptar técnicamente tu web a las nuevas medidas RGPD?
En los nuevos registros, no será muy complicado realizar el ajuste, los pasos serían los siguientes:
- Lo primero será revisar si los formularios de tu web o blog permiten obtener el consentimiento de forma adecuada comprobando que este consentimiento sea explícito, específico y verificable ¿tienes un checkbox en cada uno de tus formularios con un enlace a tu política de privacidad? Te recomiendo además del enlace a la política de privacidad, insertar una cláusula legal visible debajo de cada formulario web que exponga los puntos básicos y que esté sujeta a aceptación por parte del usuario antes de enviar sus datos. Esto te va a permitir acreditarlo debidamente con posterioridad.
- Deberás esmerarte en redactar y reforzar todas tus cláusulas informativas y tener más precisión al redactarlas, atendiendo a todos los puntos que el reglamento te exige informar.
- Deberás recordar que el consentimiento debe ser revocable en cualquier momento, por tanto, deberás facilitar un mecanismo para que los usuarios puedan perderte de vista fácilmente. Eso es sencillo en el caso de suscriptores, con clientes deberás garantizar la misma facilidad.
Según la nueva ley de protección de datos europea si utilizas datos personales para marketing directo, será necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento y si realizas elaboración de perfiles, es mejor que te asegures de requerir un consentimiento específico para esta finalidad concreta.
¿Qué hacer para normalizar los registros antiguos al nuevo reglamento europeo de protección de datos?
La única manera que veo viable es enviarles un boletín en donde les invites a confirmar su suscripción y otorgarte un consentimiento expreso, para eso, deberás conducirlos hacia tu nuevo formulario de suscripción y pedirles que marquen la casilla de consentimiento expreso siguiendo las recomendaciones anteriores.
Debes ser consciente que vas a perder a muchos suscriptores por el camino, pero sin duda, se quedarán los que realmente quieran seguir a tu lado. Del resto tendrás que deshacerte, van a suponer un gran riesgo para tu negocio ante el nuevo reglamento de protección de datos
Se que desearías hacerme desaparecer del mapa. Pero recuerda que no hice la ley, soy tu aliado y solo te informo como salir a flote de cara al nuevo reglamento de protección de datos europeo.
La transparencia informativa del nuevo reglamento de protección de datos
La verdad y la transparencia a tus usuarios será un aspecto definitivo ante el nuevo reglamento de protección de datos. Ya no valen las generalidades, los copia y pega de textos legales del vecino, el plugin de las cookies.
La clave de este camino ante la ley europea de protección de datos es avanzar hacia un modelo más amable y ameno, que invite al usuario a leer los términos y condiciones legales de una web. Por eso es necesario crear políticas de privacidad atractivas que motiven al usuario a su lectura en lugar de enfrentarlo a textos bombas e indescifrables.
Las políticas cercanas y amigables en el nuevo marco digital
Serían políticas friendly más accesibles a tus usuarios, más claras y fáciles de leer.
Deben invitar al usuario a leerlas en lugar de animarlo a salir corriendo como un gato del agua.
¿Crees que esto es posible?
Sí que lo es. Ponte en los zapatos de tus usuarios, empatiza con ellos. ¿Cómo te gustaría que fueran los textos legales de una web o blog que visitas a menudo? Ya sé que una cosa es decirlo y otra bien distinta llevarlo a la práctica, lo cierto, es que tienes que empezar a revisar tus textos legales y tus cláusulas informativas, todas deben ser personales y ajustadas a la realidad de tu web (no a la del vecino).
También deberás ofrecer mecanismos informativos suficientes para que toda información y comunicación relativa al tratamiento de datos personales sea fácilmente accesible y fácil de entender, y especialmente, que no se diluya en palabrería técnica que no hay quien la entienda sin diccionario.
Con todo lo dicho creo que está más claro que el agua, que no habrá lugar para las webs o blog que operen disfrazadas, ocultando información básica que los usuarios tienen derecho a conocer (según la nueva ley de protección de datos europea), en especial, aquellos aspectos que afectan a la gestión que hacemos de su información personal.
¿Qué información debes asegurarte que los usuarios conozcan según la Ley Europea de Protección de Datos?
El reglamento europeo de protección de datos te obliga a informar sobre todos los aspectos que afectan de manera directa o indirecta al tratamiento de los datos de las personas que te los facilitan. Es decir debes ser cuidadoso y detallista al máximo para que no se te vaya un alfiler.
Tus usuarios, deben ser advertidos e informados entre otras cosas sobre:
- La identidad del responsable de la gestión y si procede, del delegado de protección de datos, otra novedad que hasta ahora no existía esa figura. Una web que no proporcione información completa del responsable, no podrá considerarse nunca una web legal.
- La identidad de los destinatarios o las categorías de destinatarios de los datos personales, algo que muy poquitos hacen y que incluye informar de todos los servicios de terceros que utilices en tu web y que almacenen también esos datos, como Hosting, plataforma de e-mail marketing, servicio de captación de leads, etc.
- Que sus datos personales se están recogiendo, utilizando o consultando, la medida en que dichos datos son o serán tratados y de las posibles consecuencias de no facilitar tales datos.
- Las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento.
- El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto también es una novedad)
- La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos. En la actual Ley de protección de datos, ya contábamos con los derechos ARCO, ahora se impone un nuevo derecho, el de portabilidad que implica el traspaso de información de una empresa a otra si el usuario o cliente lo solicita.
- La existencia de decisiones automatizas, incluida la elaboración de perfiles para segmentación por ejemplo cuando esta elaboración tenga consecuencias jurídicas para el afectado.
Responsabilidad proactiva: es mejor prevenir que lamentar
Si nos quitamos la careta, hemos de asumir que no siempre se toman las medidas correctas para evitar la sustracción, la pérdida o el acceso no autorizado a información de la que somos responsables.
La nueva Ley Europea de Protección de Datos, te impone más responsabilidad frente a la información que gestionas de otros.
Te pide básicamente que tomes la iniciativa en la defensa de la privacidad en lugar de reaccionar cuando ya se ha producido una brecha o una vulneración de derechos.
Por tanto, deberás adoptar medidas para demostrar que estás cumpliendo con el nuevo Reglamento de Protección de Datos, tendrás que ser tú quien aporte “la carga de la prueba”.
Es aquí cuando entran en juego los procedimientos y medidas de seguridad que tendrás que acreditar si se produce una brecha de seguridad o cualquier otra calamidad que comprometa la confidencialidad de los datos personales que están bajo tu responsabilidad.
También te obliga a tener un procedimiento para comunicar esa brecha a los usuarios o clientes cuya información personal se vea comprometida.
El punto vulnerable: las sanciones rgpd e indemnizaciones del nuevo reglamento europeo de protección de datos
Otra parte que debes tener en cuenta es el enorme incremento de las sanciones RGPD por incumplimiento de cualquiera de estas premisas. Antes, el tope de sanción se estimaba en los 600.000€ y para ello, la debías de liar gordísima.
El nuevo reglamento de protección de datos dispara esos importes y en el caso de infracciones leves, pasa de los 600.000€ a los 10 millones de euros, o un 2% del volumen de negocio total anual del ejercicio financiero anterior.
En el caso de infracción grave, estas dos cifras se duplican, alcanzando la terrorífica cifra de 20 millones de euros o un 4% del volumen de negocio.
Pero no todo son multas RGPD, además hay otra peculiaridad más preocupante aún que hará que no te lo pienses a la hora de realizar tu reconversión digital legal. El nuevo reglamento europeo de protección de datos prevé la posibilidad de requerir indemnizaciones a los damnificados en materia de protección de datos, algo que no contemplaba la actual LOPD.
Imagina los pillos que puede generar esta medida y cómo puede impactar en tu negocio porque puede propiciar la aparición de aprovechados caza indemnizaciones. Así que es mejor no tentar a la suerte y no darles la menor oportunidad. Teniendo todo en regla dormirás sin sustos y sin pesadillas que atormenten tu sueño.
¿Merece la pena esta reconversión digital de la ley de protección de datos europea?
Gracias por llegar hasta el final. Sé que este post no es ligero como un cómic y que el tema no es especialmente divertido, pero estás informado sobre lo que se avecina y te encuentras en las puertas del cambio.
Ahora depende de ti asumir los nuevos desafíos que introducen los entornos digitales o ser una eterna bella durmiente.
Dice el refrán: “Alguien responsable es aquel que compra lana y palillos y termina siempre su tejido, es alguien que no espera sólo los inviernos para continuar lo que empezó un año atrás”
Es tu turno de crecer y tomar la decisión hacia una reconversión digital de tu web o blog o mantenerte pasivo en la espera de qué pasará, no esperes a recibir una denuncia para acometer los cambios que tu web necesita y cumplir con la normativa de protección de datos
El triunfo es de los valientes y de los que arriesgan. En la revolución digital que vivimos, se hace imprescindible trabajar en la creación y consolidación de una comunidad, donde estarán los que brindan garantías y seguridad, y no quienes tienen una nube de oscuridad e incertidumbre.
Eres de los míos y sé que estarás en el primer grupo.
Este nuevo reglamento europeo de protección de datos, te da la llave de una nueva oportunidad para situarte por encima de tu competencia y que tus usuarios vean a tu web o blog como un puerto seguro que garantiza sus derechos y que cumple con la ley europea de protección de datos
LEGAL BOX PLUS, LA LLAVE MAESTRA PARA CUMPLIR CON LA NUEVA LEY EUROPEA DE PROTECCIÓN DE DATOS EN TU NEGOCIO EN 2022
La herramienta web Legal Box te ayudará a cumplir con el nuevo reglamento de protección de datos y a evitar denuncias y sanciones RGPD. A qué estás esperando, contacta con nuestro equipo o descubre más y legaliza tu negocio a la nueva ley europea de protección de datos.
La Protección de Datos en las Empresas u Organizaciones
Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario
Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.
Hola,
Acerca de este punto: «La identidad del responsable de la gestión y si procede, del delegado de protección de datos, otra novedad que hasta ahora no existía esa figura. Una web que no proporcione información completa del responsable, no podrá considerarse nunca una web legal.»
Si eres dueño de tu propio blog, sin ser una persona jurídica, ¿Es aceptable solo poner el nombre de la persona responsable de tratamiento de datos sin el DNI y su dirección? Lo pregunto porque se puede estar expuesto a ataques de suplantación de identidad y SPAM. ¡Tanta protección, pero quien proteje al protector! 🙂
Hola Adrian,
Esa pregunta ya la respondo más abajo, decirte que este apartado es obligatorio en todas las páginas web a través de las que se realice cualquier actividad económica o muestren publicidad. Por tanto, se salvan muy pocas.
Uno de los apartados exige informar sobre Datos registrales, es decir, nombre o denominación social. Residencia o domicilio o, en su defecto, la dirección de uno de sus tiendas fijas. Dirección de correo electrónico y cualquier otro dato que permita fijar una relación directa y eficaz con la empresa.
Si no quieres poner tu domicilio, puedes contratar un servicio de dirección fiscal, hay muchas empresas que ofrecen esos servicios.
Un abrazo
Las nuevas políticas de protección solo expone a los que quieren trabajar honestamente y protege a los delincuentes. Por que los estafadores, spammers, etc. que pululan por Internet, esos siempre van a estar protegidos, ya que nunca van a dar la cara ni nadie que pueda obligarlos.
Aquí en Europa y España sobre todo, si un delincuente te agrede o te roba y tu te defiendes, el penalizado eres tu, TU tienes que indemnizarlo a el, al delincuente, increíble. Es una invitación a delinquir para los que no tienen escrúpulos ni moral ni ética.
Parece que la mayoría de personas esta feliz con eso, porque no veo a nadie haciendo algo al respecto, aquí los derechos son para los delincuentes.
Ya quisiera ver como controlan a empresas como Google o Facebook, ya que ellos tiene la información de todo el mundo quieran las personas o no.
Da igual las leyes que pongan, el primer requisito de todas estas empresas para poder utilizar sus servicios «gratuitos» es darle absolutamente toda tu información personal, para que así sepan todo sobre ti y bombardearte eternamente con su publicidad.
Saben que por estadística mas temprano que tarde terminaras comprando algo, o peor aun modificando tus gustos u opinión sobre algo para beneficio de terceros que ni sabemos quienes son.
Felicidades a todos y saludos.
Buenas.
Gracias a vuestra web, me he podido informar de todo lo referente a la nueva ley de protección de datos. En mi empresa ya tenemos todos los formularios con doble capa y adaptados a la nueva directriz, y todos los correos son confirmados por el doble opt-in.
Lo que no me queda todavía claro es con el tema de las bases de datos. Por ejemplo, tengo almacenados correos de clientes y contactos pasados, y ahora no se muy bien cómo debo proceder. Mi pregunta es, si ya con la ley funcionando, todavía puedo pedir su consentimiento para incorporarlos en un proceso de email marketing; es decir, enviar un correo masivo pidiéndoles que rellenen el formulario para descargarse un ebook y tener sus datos confirmados.
Es más, si de aquí a un año, si sigo recibiendo correos por cualquier medio, puedo hacer un envío cada poco tiempo recordando a la base de datos que necesito que me confirmen la suscripción para poder enviarles newsletters.
Gracias por vuestro tiempo.
Hola Angel, si es una base de datos de clientes, no necesitas reconfirmar el consentimiento, bastará con que informes de los cambios realizados y vuestra nueva política de privacidad. ten en cuenta que en caso de clientes, la base legal que legitima el tratamiento es la relación contractual.
En el caso de clientes potenciales la cosa es diferente, porqué se precisa del consentimiento como base legal para el tratamiento. Para poder decir que el consentimiento es acreditable, las empresas deben de poder acreditar y documentar lo siguiente: ¿Quién otorgó su consentimiento?: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.¿Cuándo y cómo se otorgó el consentimiento?Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo. ¿Qué información recibió la persona que consintió? Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles y por tanto, es imprescindible tener una copia del formulario utilizado para obtener los datos del interesado, o copia del sistema de captura de datos, con la información que se le haya proporcionado al dueño de los datos.
En los Formularios online: se deben tener capturas de las capas informativas con sus sellos de tiempo correspondientes. en su alta o suscripción. En este correo electrónico se puede insertar las capas informativas y se hacen capturas del proceso.
Hay que tener en cuenta que el consentimiento tiene que ser verificable: quienes recopilen datos personales deben ser capaces de demostrar que el interesado les otorgó su consentimiento.
Por ello, es importante revisar los sistemas de registro del consentimiento, para que sea posible verificarlo ante una auditoría.
Espero haberte ayudado,
Un abrazo
Por supuesto. Me ha sido de mucha ayuda.
Entiendo que mientras el sistema online de formularios y correos electrónicos, haga un seguimiento de todas las acciones que realice el contacto desde que se da de alta hasta que se produce la baja, y esté informado de los aspectos legales que cumple mi empresa, no hay problema.
Mi intención no es bombardear a la base de datos con peticiones de consentimiento constantes, pero sí intentar no perder el contacto; y que sepan que en cualquier momento podemos estar para mantenerles al tanto (si nos dan su autorización) de nuestras últimas actualizaciones y noticias.
Gracias, un abrazo.
Buenas tardes soy novato total y mi pregunta es en un blog de wordpress , se puede tener el apartado contacto? donde esta nombre, drecion de correo etc
muchas gracias
Hola Marcos, creo que tu pregunta es más sobre configuración de WordPress que sobre RGPD, aquí solo somos especialistas en lo segundo. Un abrazo
Por estos motivos es tan importante estar al día de las novedades. Los últimos cambios implican nuevas formulas y de cumplirlo depende que podamos seguir funcionando. Un saludo
Muchas gracias Olalla por pasarte por este blog y aportar tu visión. Feliz día! Un abrazo