¿Todavía no cumples con el RGPD?

Si tienes un negocio que trate datos personales de clientes, proveedores, empleados, etc, o sólo un blog que recabe datos de suscriptores y usuarios, debes conocer de sobra  las siglas “RGPD”, si no te suenan de nada o no has hecho nada relacionado con ellas, Houston, tenemos un problema.

En mayo del 2018 finalizó el plazo para que profesionales y empresas se adaptaran al RGPD, es decir, el Reglamento Europeo de Protección de datos.

Esta adaptación no es algo opcional, no es solo un trámite para tocarnos las narices, se trata fundamentalmente, de asumir un cambio de paradigmas respecto al tratamiento de la información personal y de un factor clave de competitividad y supervivencia.

Lo sabes tan bien como yo, durante mucho tiempo, empresas y profesionales trataron las bases de datos como si se tratara de cromos que había que acumular, que se podían intercambiar y fundamentalmente, como si esos datos fueran de su propiedad y pudieran disponer de ellos como más les interesara.

Una vez cogido un lead, y desde esta concepción de la propiedad del dato, este se usaba indistintamente  para mandar un boletín, para realizar venta directa, para cruzar con otras bases de datos, para intercambiarlo por otros leads, para segmentar, por nombrar algunas.

Todos lo sufrimos y estoy segura que tu también ¿cuántos correos recibes de gente que no conoces y que no sabes cómo han obtenido tus datos? ¿cuántas llamadas comerciales?

El fin del todo vale: nuevas leyes para nuevos tiempos

Desde el punto de vista legal, la era del todo vale en el tratamiento de la información de los demás tocó a su fin hace tiempo con la LOPD (Ley Orgánica de Protección de Datos) pero no fue hasta la aparición del RGPD que muchos se enteraron que había que cumplir con una serie de normas para poder tratar la información de otras personas.

El RGPD llegó como un ciclón, todos recibimos avalanchas de correos con información sobre esta normativa europea y todos los que tenemos una web o un blog, supimos que teníamos que ponernos las pilas y  hacer cambios si no queríamos delatarnos como infractores, pero curiosamente, medio año después, muchos profesionales y empresas siguen sin cumplir con el RGPD y los que tienen un blog o una web, tienen más delito, porque a estas alturas, las diferencias entre un blog cumplidor y uno infractor son totalmente evidentes para cualquier usuario.

Pese a lo evidente y notorio que resulta ese incumplimiento nada más entrar en una web, me sigo sorprendiendo encontrando webs y blogs que siguen al margen del RGPD, así que vamos a repasar algunos conceptos por si sigues creyendo que el RGPD no va contigo.

¿Cuándo y dónde deberías cumplir el RGPD si tienes un blog?

Deberías cumplir con el RGPD en el momento en que se tratan datos personales de otros, es decir, desde el momento en que tengas un sistema de captura de datos de personales como:

  • Formulario de suscripción
  • Formulario de contacto
  • Formulario de venta
  • Formulario de comentarios
  • Formulario de registro
  • Esquema de afiliados
  • Cookies de analytics , publicitarias, retargeting.

¿Quienes deberían cumplir?

Empresas o profesionales que traten datos personales de ciudadanos europeos,  dentro o fuera de la unión europea, por tanto, si tienes una empresa en Bogotá o en Etiopía, desde el momento en que recopilas datos de ciudadanos europeos, debes cumplir con las disposiciones del RGPD.

No importa tampoco tu condición fiscal,  si estás dado de alta como autónomo o no, si tratas datos personales de otros, estás obligado a respetar sus derechos, esto no es un tema simplemente legal, es un tema de principios y de responsabilidad.

La gente que te confía su información, espera que trates sus datos de forma que no vulnere sus derechos y por tanto, no puedes recabar ni tratar datos de otros si no conoces y respetas esos derechos . Puro sentido común  ¿No?

El fin de los ficheros y el paripé de cumplimiento

No son pocos los que siguen identificando el cumplimiento en materia de protección de datos con dar de alta unos ficheros, raro es el día que no reciba un mail con un “quiero un presupuesto para inscribir los ficheros

Lo de dar de alta los ficheros pasó a la historia con el RGPD que fulminó este requisito. Era un requisito puramente formal que a efectos prácticos no resolvía nada. El RGPD es mucho más práctico y suprime toda burocracia injustificada.

Se centra en lo que de verdad importa: la gestión segura y responsable de la información.

También se acabó la era del todo vale y la era del paripé.

No sirve de nada declarar ficheros si no eres transparente informando a aquellos a quienes les recopilas datos, sobre tu identidad, la finalidad con la que vas a tratar sus datos, de la identidad de aquellos con los que piensas compartir esos datos, de los derechos que asisten a estas personas sobre su propia información, etc.

Tampoco sirve de nada si no cuentas con el consentimiento o con una base legal adecuada para tratar sus datos o no cuentas con  las medidas de seguridad necesarias para garantizar la integridad, la confidencialidad y la disponibilidad de esa información.

Si trabajas con WordPress y quieres conocer todos los requisitos de cumplimiento, te recomiendo que consultes esta  Guía fundamental sobre RGPD en WordPress

Las evidencias que delatan a una web como infractora

Si no quieres que tus usuarios te perciban como infractor, no les des pistas que te pongan en evidencia.

Básicamente, el RGPD plantea la necesidad de relacionarnos con la información de otros de una forma responsable, transparente, respetuosa y consciente,  por tanto, todo tu negocio y toda tu estrategia estarán comprometidas si a fecha de hoy,  estás cometiendo alguno de estos errores:

No estás informando adecuadamente

Las personas tenemos derecho a conocer todo lo que afecta al tratamiento de nuestros datos y desde esta perspectiva, no es lícito el tratamiento que no informe con máxima transparencia sobre todos los aspectos vinculados a ese tratamiento.

Para facilitar esta transparencia y claridad informativa, se recomienda adoptar un modelo de información por capas o niveles de tal manera que se presente al usuario, una información básica reducida y una información adicional más detallada.

Estamos acostumbrados a políticas opacas e incomprensibles, a jerga farragosa, a prácticas torticeras para obtener nuestros datos y eso ya no es posible con el RGPD.

No es lícito que nos requieran datos sin decirnos quién es el responsable de tratar nuestros datos y con qué finalidad piensa hacerlo. Tenemos derechos sobre nuestros datos, como acceder, rectificar, limitar el tratamiento, etc y no podemos ejercerlos sino sabemos ante quien debemos hacerlo.

El derecho a la transparencia informativa, implica ofrecer a usuarios y clientes información completa  y clara sobre el uso de su información personal, desechando fórmulas legales farragosas e incomprensibles para el ciudadano medio.

No informar como toca, es un factor delator muy evidente, si tus formularios no incluyen una primera y segunda capa informativa.

Esa información debe ser previa al tratamiento, por tanto, no vale con poner un enlace a la política de privacidad, debes informar de forma clara, explícita directa y previa sobre algunos aspectos básicos que quedan muy bien ilustrados en el formulario de captación de Fernando:

Un usuario que entre a tu web debe tener un aviso de advertencia sobre el tipo de cookies y un mecanismo que le permita configurarlas adecuadamente según sus preferencias de privacidad.

También deberás tener adecuadas tu política de privacidad, tu política de cookies, tu aviso legal y si vendes, tus condiciones de contratación si vendes infoproductos.

Las políticas deberán estar expresadas de forma clara, preferiblemente, en formato preguntas y respuestas que cualquier persona pueda entender, independientemente de su formación o conocimientos.

No estás requiriendo el consentimiento conforme exige el RGPD

Muchos tratamientos requieren del consentimiento como única opción para poder utilizarlos legalmente. Uno de esos tratamientos es el de usuarios o suscriptores de una web que todavía no son clientes.

El RGPD plantea otra dimensión del consentimiento que será la que “certifique” la voluntad del usuario. Esto implica desechar mecanismos de captura de información que impidan al usuario hacer una opción consciente e informada.

Se exige que el consentimiento refleje una manifestación de voluntad libre, específica, inequívoca y verificable, es decir, todos esos registros incluidos en tu lista, deben cumplir con esos requisitos. Estos nuevos requisitos harán que tu lista de suscriptores no tenga la legitimidad suficiente o no puedan acreditarse esa legitimidad de forma efectiva y por tanto, tengas que regularizar esa lista. En este post te explicamos cómo.

Cuando se habla de consentimiento específico, se refiere a que  la solicitud de consentimiento debe distinguirse claramente de los demás asuntos y para ello,  cada formulario debe contar con un apartado específico en dónde el consentimiento se requiera en función a la finalidad de la información recogida en cada formulario, eso implica que no vale un mismo apartado legal para todos, cada formulario debe contar con su propia cláusula informativa.-

Además, el consentimiento es otro gran chivato de incumplimiento, el no contar con un checkbox que requiera un consentimiento válido, te delata  claramente como infractor.

También deberás poder acreditarlo debidamente y para eso, deberás recabar pruebas de que los consentimientos han sido otorgados conforme exige la ley, recuerda que con el RGPD, lo del paripé está complicado, todo lo que hagas debe ser acreditable.

Recuerda que el consentimiento debe ser revocable, es decir, debe ser tan sencillo otorgarlo como revocarlo, y por tanto, si en tus boletines no incluyes un enlace para darse de baja, tienes otro factor de incumplimiento muy delator.

No respetas los derechos de tu audiencia sobre sus datos personales

Como usuarios, nos asisten varios derechos sobre la información que nos concierne que todo prestador o responsable debe habilitar y permitir su ejercicio.

Es obligatorio informar a tu audiencia (suscriptores, clientes, etc)  acerca de los derechos que les asisten:

  • El derecho al acceso fácil a la información que nos concierne, de allí el nuevo derecho de portabilidad, que permite traspasar los datos de un usuario que lo requiera de un prestador a otro .
  • El derecho a su rectificación o supresión.
  • El derecho al olvido y al de oponernos incluso al uso de datos personales a efectos de establecimiento de perfiles.
  • El derecho a limitar el uso de tu información personal a determinadas finalidades.
  • El derecho a presentar una reclamación ante la autoridad de control: se debe informar sobre este derecho junto con el resto de los derechos.

Si no estás informando adecuadamente a todos los afectados acerca de estos derechos o no cuentas con los mecanismos adecuados para permitir que puedan ejercitarlos, tienes otro  factor delator de incumplimiento entre tus filas.

No incluyes un protocolo Https

Hay muchas medidas de seguridad necesarias que aplicar en una web para proteger la información, no obstante, tener un protocolo de cifrado  https es la más evidente desde el punto de vista de un usuario, google lo chiva muy rápido poniendo a tu web como no segura.

¿Qué pasa si te mantienes al margen el RGPD?

Las sanciones se han puesto críticas, a mi no me gusta nombrarlas porque creo que la decisión de adecuación debe pasar por otros lugares, el ser más respetuosos, diligentes, confiables, conscientes, profesionales en la gestión de la información son todo ventajas para cualquier profesional.

Si como blogger, no eres de capaz de proteger el principal activo y la materia prima de tu negocio que son tus bases de datos, estás en una situación muy crítica de cara a la supervivencia de tu negocio.

Es puro sentido común, pero además no puedes subestimar el riesgo reputacional de la imagen que proyectas. Posicionarte como infractor frente a tu comunidad es muy temerario, como lo es, renunciar a una ventaja competitiva como es el ser garantista y confiable. ¿A quién confiarías tú tu información?

Por otra parte, las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual. Yo no tentaría a la suerte.

Y si además tienes un e-commerce

Igual, solo que vas a necesitar además, tener preparadas condiciones de contratación. En estos casos, en los formularios de compra o contratación deberás informar  si la comunicación de datos es requisito legal o contractual, o un requisito necesario para suscribir un contrato, o si el interesado está obligado a facilitar los datos personales y de las consecuencias de no facilitar esta información.

Cómo ponerte al día con el RGPD sin complicarte la vida

Personalmente, llevo muchos años trabajando con profesionales que cada día se dejan la piel para sacar sus negocios adelante, la mayoría, vive de su marca personal y de una comunidad que han construido con esfuerzos titánicos.

Un servicio de consultoría tradicional, no siempre está al alcance de muchos bloggers que apenas están monetizando, tenía que existir una solución eficaz, rigurosa y asequible para este tipo de profesionales que quieren hacer las cosas bien pero que no van sobrados de recursos, así nació LEXblogger.

Creamos una herramienta que no sólo crea plantillas básicas, la aplicación permite una adecuación completa que incluye un sistema de actualizaciones y un plan de revisiones periódicas para que el cumplimiento sea efectivo y real.

Nos esmeramos en la personalización de las políticas, no es de recibo ni legal el copy paste de políticas ajenas, cada web necesita un traje legal a medida porque una web es el escaparate más visible de cualquier negocio y donde la evidencia de cumplimiento debe ser más nítida.

La herramienta permite recoger todas las singularidades y casuísticas de cualquier negocio, generar cláusulas, contratos y políticas adecuadas a los tratamientos que se realicen y mantener actualizada tanto la web como la actividad y llevar un control interno de incidencias, usuarios, tratamientos, ejercicios de derechos  y disponer de todas las evidencias de cumplimiento activo que exige el RGPD.

LEXblogger ofrece  diferentes planes en función a la necesidad y particularidad de un negocio. El plan Legal Box Basic sirve para que la mayoría de las empresas, profesionales, micropymes y pymes puedan adecuarse al RGPD de una manera sencilla, completa y rápida.

Para aquellos que necesitan contar con  un soporte jurídico, cuentan con Legal Box Normal. Y para aquellos negocios que requieren adecuaciones más complejas, ofrecemos Legal Box Pro con su plan de consultoría a medida.

VALORA ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
FlojitoNo está malEstá bienMe ha servidoFantástico (6 votos, promedio: 4,83 de 5)
Cargando…

Autor: Marina Brocca

Consultora Especialista en Marketing Legal y Protección de Datos en Madrid. Amante de las aventuras rupestres y la conquista de cumbres. Divulgadora y formadora en el arte de vender sin atropellar y los nuevos paradigmas de la venta online

Comparte esta entrada en
468 ad

Centro de preferencias de privacidad

Cookies imprescindibles

Se usan para saber si ya aceptaste nuestras políticas, si ya estás suscrito a nuestra newsletter, para reconocer el estado de tu sesión si la tuvieses y para servir más rápidos los contenidos.

No se captura IPs ni siquiera para el servicio de Analytics así que tu visita es privada.

JSESSIONID, _cfuid, wpSGCachePypass, mailerlite, gdpr, gawp
mailerlite, _cfuid

Cookies de terceros

Usamos cookies de terceros con servicios, también garantes de tu privacidad, que analizan tus usos de navegación para que podamos mejorar los contenidos, si ya estás suscrito al boletín y los elementos compartidos en redes sociales y el formulario de comentarios.

1P_JAR, APISID, CONSENT, HPSID, NID, SAPISID, SID, SIDCC, SSID, disqus_unique, disqusauth
disqus_unique, disqusauth
1P_JAR, APISID, CONSENT, HPSID, NID, SAPISID, SID, SIDCC, SSID

Pin It on Pinterest

Share This
Ir al contenido