Me he encontrado por grupos de FB Y por Twitter dudas y confusión sobre la aplicación del nuevo Reglamento Europeo de Protección de Datos, e incluso por email he recibido consultas que darían para escribir doce ebooks.
Por ello he decidido crear este post, y así de paso me sirve para avisar que la consultoría es un servicio que ofrezco gustosamente desde el apartado de "servicios" de este blog 😉
Ojo: SI recibes una llamada de alguien haciéndose pasar por miembro de la AEPD y pidiendo tu tarjeta de crédito o cuenta bancaria para cobrarte una pasta o "enviarte una inspección". ¡No caigas!
En caso de que fuera cierto, primero te deben enviar una notificación certificada y te dan un plazo para subsanar cualquier incidencia. ¿ok?
Cuando te llamen con un rollo de estos, explícaselo clarito. De nada.
En uno de mis anteriores posts ya hablaba sobre el RGPD un poco por encima, que no és que entre en vigor en Mayo -pués se aprobó allá por 2016- si no que el periodo "de gracia" que esta norma ha estado dando durante este tiempo en el que con un "copia y pega" se solucionaba todo el tema de aviso y aceptación de la política de privacidad de webs, blogs y tiendas digitales, toca a su fin.
Así que, sí o sí es en esa fecha prevista, el 25 de Mayo de 2018 para ser más exactos, cuando todos los que tenemos un negocio digital -o dos- tendremos que cumplir con lo que nos dice dicha norma (y la revisión de la LOPD, que es otro cantar... y luego veremos).
He de decir que me he encontrado de todo pululando por internet. Cosas para prenderles fuego y otras muy válidas.
No obstante, en este post te voy a exponer lo que vas a tener que hacer para cumplir con la ley, no solo porque lo diga yo, si no porque todo ello viene revisado y respaldado por un equipo de profesionales expertos y versados en ello. Aplicarlo o no, ya es decisión tuya.
Dicho esto, ¿empezamos? Oh right!
Última actualización: 31 de Mayo de 2021; anterior: 15 Noviembre 2019. ¡Por cierto, antes de seguir, quiero contarte algo! Verás, una parte del servicio que ofrezco comprende la adecuación de sitios webs y tiendas, blogs, etc., al RGPD y la LOPDGDD, si bien, hay partes comunes por referencia a la normativa vigente hay otras que no lo son tanto, sin embargo eso no ha sido problema para algunos piratas que han hecho un "copiaypega" del aviso legal, política de privacidad y cookies, entre otros textos, de esta -mi- web, y ni han caído en que si no adecuas los emails, los registros que sustituyen a la inscripción de ficheros, y un soporte adecuado, has hecho la mitad de la faena...
Por tanto, y ya que webs como la de la imágen de abajo que han hecho un copiapega sin ni siquiera eliminar el enlace a mi web (morraco premium), y otras webs tales como La Traca, Floralbi, Add.cat, y algún que otro más no se ha gastado un céntimo en ello, tú, my friend, solo por ser cliente de Asesoría Blogger, vas a tener el Pack RGPD por la cara, pero completo, original, nada de copia y pega.
¿Te apuntas? Pues entra aquí y contrátalo ya.
Ejemplo de una web que ha copiado mis textos legales (con enlace y todo), espero que lo quiten cuando se publique esta foto... (a 31 de Mayo de 2021)
Repaso de todo lo que viene...
Cómo adecuar tu web/blog/tienda a la nueva normativa europea
En términos generales, y paso por paso, esto es lo que tienes que tener en cuenta:
1) Inscripción de ficheros: Es un trámite público que puedes realizar directamente desde la web de la AEPD si no se lo encargas a un tercero. No es complicado pero si metes la gamba probablemente tendrás que modificarlo al poco tiempo. Si tienes ficheros inscritos previamente o alguno notificado, es muy probable que lo hicieras o te lo hicieran hace años con lo que a lo mejor es necesario ponerlos al día, modificar, suprimir o añadir lo que pueda faltar.
A partir del susodicho 25 de Mayo de 2018, se sustituye dicha inscripción pública por un Registro de Actividades. En este caso, el responsable de los datos y su tratamiento -o su representante- deberá describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, que medidas técnicas y organizativas aplicará para preservar la seguridad del usuario/cliente y cuándo este podrá borrarlos.
Oyeeee: La cosa de adelanta al Lunes 14 de Mayo. Desde este mismo momento, actualizo el post para decirte que NO es necesaria la inscripción de ficheros en la AEPD, en su defecto, se sustituye por un registro de actividad (que luego te cuento lo que és):
Esto es lo que aparecía como aviso en la web de la AEPD (conocida como la web de los 404 porque todo lo que sacan luego lo quitan).
2) Condiciones legales o de uso de la web: En todo blog, web o tienda donde tengas una caja de suscripción deberás tener un apartado de Aviso legal, otro de política de privacidad y de Cookies.
Si encima vendes algún tipo de infoproducto o servicio (o producto físico) no te escapas de tener unas Condiciones Generales de Contratación.
¿Y qué pasa si tu web es una página de nicho o micronicho, rollo afiliación?
Aquí puedes omitir algunos aspectos, si tu web o tienda es del tipo afiliación. (TPA como llamo a las mías. En castellano, Tienda de Posicionamiento y Afiliación. TSA para Romuald Fons, o Página Nicho para Ángel Alegre) Sobre nombres no hay nada escrito. Hete aquí un ejemplo.
¿Y por qué? Muy sencillo. Por que tú realmente no vendes ni recopílas datos de nadie -salvo que cuentes con una caja de suscripción, ojo- tu enlazas a un Amazon, por ejemplo, y ya se encarga él de todo el proceso de recogida de datos, venta y envío o entrega. Luego te pagará tu comisión por afiliación y punto.
Resumido: ¿Responsable de tratar los datos del comprador? Amazon, tú no.
Ahora, volviendo al tema de los textos legales en la web, en realidad, lo ideal es que separes en tres las condiciones legales, desde donde enlazarás con el Aviso Legal, la Política de Privacidad y la de Cookies.
--------------------------
Otra actualización sobre esto de las Cookies. Con fecha 28 de julio de 2020, la AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos.
--------------------------
Si, como comentaba antes, es una tienda o web/blog con tienda (vamos, lo que se conoce como e-commerce) tendrás que incluir además unas condiciones generales de contratación (LSSICE).
3) Contratos con trabajadores y con terceros: Como muchos bloggers y emprendedores digitales, colaboras con otros profesionales, autónomos, freelances, etc. o como es mi caso, presto servicio de asesor y consultor, es muy importante tener debidamente firmados documentos donde se recojan ciertos compromisos de confidencialidad.
Si además, cuentas con trabajadores como tal (no colaboradores, si no contratados por régimen general) también deberás firmar un contrato, un anexo o cláusulas adicionales dentro del propio contrato laboral.
4) Cambios respecto la documentación anterior: Esto choca un poco con lo que comentaba al principio del post (pasar de inscribir los ficheros, a tener un Registro de Actividades).
Se trata de actualizar lo que hubiera inscrito previamente. Requisitos un poco extraños, ya que según este punto, puedes haber cambiado de dirección fiscal (casa, despacho, coworking...), o de programa informático, de antivirus, trabajadores, asesoría que te lleva las nóminas, etc. con lo que será necesario actualizar el documento de seguridad y los correspondientes contratos cada dos por tres.
Esperemos que con la nueva revisión y actualización de la LOPD para adecuarse al RGPD, esta exigencia pelín especial, desaparezca o se modifique. Ya veremos que pasa.
5) Medidas técnicas (informáticas): Aparte de los aspectos legales, es importante cumplir con las medidas técnicas que establece el reglamento según el tipo de datos tratados (contraseñas, perfiles, copias de seguridad, etc.)
No, no tienes que comunicar tus contraseñas. Faltaría más...
6) Caja de suscripción/newsletter: En los vídeos de mi canal de Youtube sobre el tema, como el que puse en mi anterior post, hablaba sobre el texto que debe aparecer justo debajo de la frase típica de "Aceptas las condiciones y política de privacidad" que a su vez, suele estar inmediatamente debajo de las casillas de Nombre, Email y el botón de Enviar. (joer, que tutorial exprés te estoy dando, ¿¡eh?!)
Simplemente, debería ser un pequeño extracto de las condiciones legales (puedes ver como ejemplo, mi home. Un poco más abajo, antes del punto 7, te pongo la imagen) que puedes añadir con un desplegable -como hacía yo en mi anterior versión del blog- o como lo tengo ahora.
Lo importante es que aparezca dicho texto, cosa que antes no era obligatorio. Ahora sí. Y además, un extracto de dicho extracto (valga la redundancia) en el caso de que utilices un widget o barra lateral con caja de suscripción.
Aquí puedes ver los dos ejemplos que te digo:
7) Enviar emails a suscriptores y clientes: Esto es una continuación del punto anterior. Deberás tener en cuenta algunos aspectos que afectan la LOPD (el consentimiento) y la LSSICE (aviso legal al pie de los emails). Y siempre, debes mostrar la opción "Dar de Baja" en cada comunicación.
Sí, lo sé. Tú ya lo haces desde hace tiempo. Eres more more legal 😉
Al loro: En un grupo de FB hubo un debate sobre si se aplicaría lo de la "re-confirmación" de suscriptores (en este caso, clientes) que en su día dieron un consentimiento inequívoco, explícito y NO tácito. En ese caso, no sería necesario volver a pedir dicha confirmación. Sirva como ejemplo un contrato laboral donde se hizo firmar al empleado en documento aparte o como cláusula de dicho contrato sobre la confidencialidad y protección de datos. Ojo, es mi opinión basada en hechos y experiencia en nuestro despacho, lo que no quiere decir que a partir del 25 de Mayo aparezca una enmienda o una clara interpretación por el legislador (por ejemplo, la revisión y actualización de la LOPD).
8) Tratar datos de nivel alto (por ejemplo, salud): Si antes no se trataban datos de esta índole en el negocio en cuestión y ahora sí, será necesario actualizar el fichero al nivel de datos correspondiente y llevar a cabo aspectos como obtener el consentimiento exprés de tus clientes finales.
Esta parte puedes saltártela, salvo que seas médico, terapeuta, abogado, psicólogo o similar. En ese caso, vas a tratar datos especialmente delicados y confidenciales.
Y en este momento, seguro que estás pensando "esto está muy bien, pero dime cómo leñe meto ahora el checkbox (casilla de verificación en español) en los formularios laralaralaaaa. Tranqui. Si usas Mailerlite -aunque es aplicable a otros proveedores de email- este vídeo te va a venir de perlas:
Bonus for you...
Últimamente, me mola que cada post que hago tenga su apartado de Bonus. ¿Y a ti? Engaaa... este no va a ser una excepción.
Llegados a este punto, puedes optar por encargar a un tercero -un profesional, una empresa, etc.- que realice todos los tramites y gestiones por ti, o hacerlas tú mismo/a.
Si decides tirar por el sistema "Juan Palomo", tanqui, que te voy a dar unas cuantas pautas.
Para empezar, existe una guía elaborada por la propia AEPD que puedes descargar aquí.
La AEPD ha puesto en marcha una herramienta llamada "RGPD Facilita".
Si no te aclaras (o no quieres aclararte) con dicha herramienta, y quieres darle un vistazo rápido a lo que tienes que hacer como responsable de los datos que vayas a recopilar por ventas o suscripciones a tu blog o web, esta infografía te resultará de utilidad.
¿Ganas de más? Pues esta otra ni te cuento: ^_^
¿Y qué pasa con Las Cookies?
Pues que están muy ricas. Noooo... las Cookies -como ya sabrás y si no aquí estoy yo para contártelo- son pequeños fragmentos de código que recogen información sobre tus movimientos en internet.
Es decir, recopilan información sobre tus hábitos de navegación, lo que te gusta, lo que no, etc. (esto por explicarlo a "grosso modo").
Con la nueva normativa tienes que especificar las Cookies que utiliza tu web. Normalmente, la mayoría son genéricas (Google, Amazon, etc.) pero otras dependerán de cómo esté estructurada y diseñada tu web.
No te preocupes, te traigo este vídeo (con audio un poco cascao pero se escucha bien)
En Conclusión
Estas pautas generales te servirán para orientarte entre tanta información (y desinformación) sobre el tema. Eso sí, ten en cuenta -lo repito de nuevo- que falta por ver cómo queda la LOPD, ya que va a ser modificada y actualizada.
¡Ojo! Actualización Enero 2019.
Ya está actualizada. "Salió" en Diciembre de 2018. Se llama LOPDGDD. Es decir, Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales. Deja sin efecto la anterior. Tienes aquí todo el tocho de dicha norma.
Evidentemente, no va a quedar por encima de la norma europea. Después de todo para lo bueno y lo malo siempre estamos a rebufo de lo que diga Europa.
Con este post, espero haberte aclarado las dudas que pudieras tener y ayudar también de paso a quienes me envían emails con varias consultas, repetidas veces, las cuales yo contesto gustosamente, aunque a veces quienes las hacen emigren a la competencia (que curiosamente no les ha atendido previamente, oyoyoy).
Esto me hace sentir un poco pagafantas, pero bueno... al final vienen clientes que merecen la pena. Si quieres que mi equipo y yo nos encarguemos de crear todos los documentos, textos legales y lo que conlleva el RGPD (además, incluye LSSICE, ARCO y demás), no dudes en decírmelo o pincha aquí.
Hasta el próximo post 🙂
Post by: Miguel Aguado