A estas alturas de la feria, hablar de la adaptación de los sitios web al Reglamento General de Protección de Datos (RGPD) debería estar fuera de lugar.
Sin embargo, al navegar por Internet, me doy cuenta de que la gran mayoría de las webs no cumplen con el dichoso reglamento.
Vale... igual no es el 99% de los sitios web, pero te aseguro que casi todos nosotros estamos con el culo al aire (yo incluido) en lo que al tratamiento de datos personales se refiere.
Básicamente, hay dos tipos de web:
- Las que generan ingresos, directos o indirectos.
- Las que no generan ingresos.
Y esto no tiene nada que ver con la obligación de cumplir con el RGPD. Lo único que has de tener en cuenta es si tratas con datos de residentes europeos.
Si lo haces, da igual si la sede de tu empresa está dentro o fuera de la Unión Europea, tienes que proteger su información personal y, por tanto, cumplir con el RGPD.
Y esto no sólo se aplica a tu web, si no a cualquier ámbito en el que recojas o almacenes información personal: correo electrónico, el disco duro de tu ordenador, una base de datos, una libreta en el cajón de tu mesilla de noche…
Hay algunos casos excluidos de esta obligación, como el uso estrictamente privado o doméstico (la agenda de tu teléfono particular, por ejemplo). Estos caso los puedes encontrar en el artículo 2.2 del RGPD.
Sin embargo, un simple blog personal, con una sección de comentarios ya debe cumplir con el RGPD porque es un sitio web público que recoge datos personales. No se puede considerar algo estrictamente personal y privado tuyo.
- ¿Cuándo tengo que cumplir con el RGPD en mi web?
- ¿Cómo tengo que cumplir con el RGPD en mi web correctamente?
- Formularios adaptados al RGPD
- Lista de suscripción (newsletter)
- Aviso Legal
- Política de Privacidad
- Aviso y Política de Cookies
- Condiciones de contratación
- ¿Qué pasa si mi web trata datos especialmente protegidos?
- Resumen de cómo cumplir con la normativa RGPD en España
- Terminando que se hace tarde
¿Cuándo tengo que cumplir con el RGPD en mi web?
Siempre que recabes información de carácter personal, aunque sólo sea una IP, debes adecuar tu web al RGPD, tanto si obtienes ingresos como si no de la explotación de esos datos.
Entre otros supuestos, debes adaptar tu web al RGPD si:
- Tienes un formulario de contacto, suscripción, registro o de comentarios.
- Vendes productos o servicios en tu web.
- Trabajas con algún sistema de afiliados.
- Guardas en alguna parte de tu web, tu servidor o tu PC algún dato de los visitantes de tu web.
- Tienes publicidad en tu web.
- Tienes Google Analytics u otro sistema de analítica, logs o registro de interacciones del tráfico en tu web.
- Usas herramientas o plugin de seguridad.
Si no es tu caso y en tu web te dedicas a ofrecer información sin requerir ningún tipo de dato personal de tus lectores, igual entonces te interesa más leer un artículo que hable de otra cosa, como las 13 acciones clave para la correcta administración de tu sitio web en WordPress.
¿Cómo tengo que cumplir con el RGPD en mi web correctamente?
Entre los cambios que afectan a una web que introdujo el RGPD respecto a la LOPD, están los siguientes 10 puntos básicos:
- La necesidad de obtener el consentimiento explícito, inequívoco, informado y verificable de los usuarios o clientes para poder gestionar sus datos, con nuevos mecanismos para obtenerlo y acreditarlo.
- La necesidad de ofrecer a usuarios y clientes información completa de manera previa sobre el uso de su información personal; con nuevos requisitos informativos respecto a la LOPD, entre otros, el de la claridad, la transparencia y la accesibilidad a esta información.
- La necesidad de concretar y especificar todo lo que incluya la información personal de las personas a quienes les requieras sus datos (en una suscripción, comentario, registro, etc.).
- La necesidad de garantizar un acceso fácil de todos los que te aportan sus datos personales a la información que les concierne.
- El derecho al olvido y oposición al uso de datos personales, a efectos de establecimiento de perfiles.
- La necesidad de llevar un registro de actividades de tratamiento (RAT).
- La necesidad de acreditar el cumplimiento de todos los colaboradores con quienes compartas información.
- La necesidad de aplicar medidas de seguridad adecuadas al nivel de riesgo.
- La necesidad de llevar a cabo controles periódicos para garantizar todas las medidas y obligaciones recogidas en el RGPD.
- La necesidad de disponer de un protocolo de detección y notificación de brechas de seguridad.
Adecuar un sitio web al RGPD es mucho más que tener unos textos legales accesibles y el típico banner de aceptación de las cookies.
Implica tener una cultura de protección de datos que te permita gestionar de forma eficaz la información de tus usuarios, lectores o clientes.
No es un proceso estático ni un trabajo puntual que haces una vez y te olvidas, cumplir con el RGPD es un proceso activo y continuado.
Entre las actuaciones que debes realizar para que tu web cumpla con el RGPD están:
- Redactar todas las políticas legales de la web (aviso legal, política de privacidad, política de cookies), con precisión y claridad, atendiendo a todos los puntos que el reglamento te exige informar. Estos textos legales deben aparecen en el footer de la web y en ellos debe constar la fecha de la última modificación.
- Que los formularios de tu web permitan obtener el consentimiento de forma adecuada, comprobando que este consentimiento sea explícito, inequívoco, específico y verificable.
- Llevar a cabo un registro de actividades de tratamiento (RAT) en el que se analicen cada uno de los tratamientos y de las medidas de seguridad a aplicar, en función del riesgo de cada uno.
- Informar por capas, lo que implica insertar una cláusula legal visible en cada formulario que exponga los puntos básicos y que esté sujeta a aceptación por parte del usuario, antes de enviar sus datos.
- Disponer de cláusulas informativas específicas para el correo electrónico y el envío de boletines. El consentimiento debe ser revocable y, por tanto, en cada nueva comunicación ha de constar un mecanismo que permita al usuario desistir de nuevas comunicaciones.
- Si se utilizan datos personales para marketing directo será necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento.
- Llevar un registro de todos los consentimientos que hayas obtenido, lo que implica asegurarte de que tu plataforma de email marketing te permita contar con este registro.
- Regularizar los registros antiguos. Todos los registros que almacenes deben cumplir los requisitos de consentimiento expreso.
- Cumplimentar contratos de encargo de tratamiento con todos los colaboradores con quienes compartas datos y tener un sistema para evaluar su nivel de cumplimiento.
- Habilitar mecanismos claros para que usuarios y clientes puedan ejercer sus derechos ARCO ampliados de manera sencilla y electrónica. Para lo deberás contar con modelos para ejercitar estos derechos y modelos de respuesta.
- Implantar las medidas de seguridad adecuadas al riesgo de los tratamientos llevados a cabo en tu web.
- Mantener un sistema de controles periódicos que garantice un cumplimiento real y el principio de responsabilidad activa.
Formularios adaptados al RGPD
Es obligatorio que, para poder enviar el formulario o para poder publicar el comentario, el usuario dé su consentimiento marcando una casilla.
Este consentimiento debe tener 5 características para que sea legal:
- Debe ser libre: no puede ser una condición previa para firmar un servicio, a menos que sea necesario para el mismo.
- Debe ser informado: se debe ofrecer una explicación detallada de para qué se está pidiendo el consentimiento de esos datos personales y cuál será su tratamiento.
- Debe ser expreso: deberá ser recabado mediante una declaración o mediante una clara acción afirmativa y nunca deducirse por la inacción o la omisión del usuario.
- Debe ser específico: ligado a una finalidad concreta y no genérico, mediante la aceptación global de unos términos y condiciones.
- Debe ser verificable: debes mantener registros para demostrar lo que el individuo consintió, cuándo y cómo, incluyendo qué dijo y sobre qué se le informó.
En esa casilla, debes poner, además, un enlace a la Política de Privacidad de la web.
También, es obligatorio que incluyas una primera capa de información en dicho formulario, en la que indiques:
- Quién es el responsable del tratamiento de los datos
- La finalidad para la que se recogen los datos
- Su legitimación (La forma en que el usuario consiente el tratamiento de sus datos).
- Los destinatarios de esos datos (si se ceden a terceras personas o no)
- Los derechos que pueden ejercer los usuarios
- Un enlace para ampliar información (que normalmente será el de la Política de Privacidad)
Por lo tanto, asegúrate de que todos los formularios de comentarios, suscripción, contacto, registro etc. de tu web incluyen mecanismos informativos claros y requieren el consentimiento de los usuarios. Lo que implica que la casilla de verificación no esté pre marcada y que el botón de envío esté inactivo u oculto hasta que ésta se marque.
Esto es clave, porque es el acto de marcar conscientemente dicha casilla lo que indica un consentimiento expreso, no uno pasivo con el que muchos usuarios ni se percatarían de la existencia de dicha casilla.
Además, el consentimiento ha de ser granular, es decir, que debes incluir tantas casillas de aceptación como finalidades diferentes tengas en cada formulario.
Al igual que ocurre con los formularios, debe incluir la casilla de verificación y la primera capa de información.
Cada usuario que quiera recibir una de tus newsletters, tendrá que dar su consentimiento para que tú puedas enviársela.
Debes informarle sobre qué vas a hacer con sus datos y obtener su consentimiento expreso para su tratamiento (recuerda, el consentimiento tácito no está permitido).
De no hacerlo, cualquier correo que envíes con alguna promoción sin que el receptor te haya autorizado, será ilegal.
Aviso Legal
En este documento, que tiene que estar presente en todos los sitios web, y que no hay que confundir con la Política de Privacidad o la de Cookies, debes informar de:
- Quién es el propietario de la web
- Su NIF, dirección, correo electrónico y teléfono
- Datos que se incluyan en los casos especiales (nº de registro mercantil, autorización administrativa, código de conducta, nº de colegiado,…)
También debes indicar si los contenidos que tienes en tu web (fotografías, documentos, vídeos,…) son tuyos o de algún tercero.
En el primer caso, tienes que indicar que la propiedad intelectual o industrial es tuya.
Para el segundo, has que hacer constar que tienes el consentimiento explícito del autor para publicar sus contenidos.
Si están bajo una licencia copyleft, deberás cumplir las condiciones que indique cada autor para utilizar sus contenidos.
Por último, deberás facilitar a los usuarios la forma en que pueden ponerte alguna reclamación o resolver algún conflicto
Política de Privacidad
Básicamente, la información que debe constar en este documento es la misma que debe aparecer en la primera capa de información de cada formulario, pero ampliada.
- La identidad del responsable de la gestión de los datos, y si procede, del delegado de protección de datos.
- La identidad de los destinatarios o las categorías de destinatarios de los datos personales, algo que muy pocos hacen y que incluye informar de todos los servicios de terceros que utilices en tu web y que almacenen también esos datos, como Hosting, plataforma de e-mail marketing, servicio de captación de leads, etc.
- Advertir sobre qué tipo de datos se están recogiendo, utilizando o consultando, la medida en que dichos datos son o serán tratados y de las posibles consecuencias de no facilitar tales datos.
- Las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento.
- El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
- La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento; o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos, que implica el traspaso de información de una empresa a otra si el usuario o cliente lo solicita.
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles para segmentación, cuando esta elaboración tenga consecuencias jurídicas para el afectado.
Cualquier cookie que recoja datos de carácter personal de los usuarios (las de Google Analytics, por ejemplo) deberá ser bloqueada hasta que estos den su consentimiento explícito para ser utilizada.
En cuanto a la Política de Cookies, deberá informar de qué es una cookie, qué cookies se utilizan en la web, cómo se pueden desactivar las cookies y qué consecuencias puede tener el desactivar o no aceptar dichas cookies.
Este es uno de los puntos en los que fallan la práctica totalidad de los sitios web, ya que la página de Política de Cookies debe incluir una tabla con la información de todas las cookies usadas en cada momento.
Además, deberían aparecer algún medio para renovar o revocar de la aceptación de las cookies.
Condiciones de contratación
En el caso de un e-commerce o en donde existan mecanismos de pago para contratación de productos o servicios de forma online, deberás añadir las Condiciones de contratación.
Tu web debe poner a disposición de los usuarios las condiciones generales de contratación de forma que puedan ser almacenadas y reproducidas por los mismos.
La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) establece que el prestador, antes de iniciar la contratación, debe informar al usuario de forma «clara, comprensible e inequívoca» sobre:
- Los trámites o pasos a seguir para celebrar el contrato.
- Si el documento generado, el contrato, va a ser almacenado por el prestador.
- Los medios técnicos que pondrás a disposición del usuario/consumidor para identificar y corregir errores en los datos.
- La lengua o lenguas en que se podrá formalizar el contrato.
- Creación de mecanismos de aceptación de términos y condiciones de uso tras habérsele facilitado información clara y completa sobre la identidad del prestador de servicios, así como información relativa a las condiciones de contratación.
¿Qué pasa si mi web trata datos especialmente protegidos?
En este caso, necesitarás un análisis de riesgo previo y valorar las medidas de seguridad que tendrás que adoptar en tu página web.
Hay algunos principios básicos que deberás tener en cuenta al tratar datos personales, en especial, si se trata de datos especialmente protegidos, como:
- Los que revelen el origen étnico o racial.
- Las opiniones políticas.
- Las convicciones religiosas o filosóficas.
- La afiliación sindical.
- El tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física.
- Datos relativos a la salud.
Entre los principios básicos están:
- Minimización de datos, que implica que en cada fase del servicio se deben recabar solo los datos necesarios para esa fase.
- Anonimización, que es el proceso por el cual se disocia un dato de interés de un dato personal. De esta manera, se impide la identificación o asociación de una persona con la información sensible en “todos los medios que puedan ser razonablemente utilizados”.
Sólo se pueden tratar estos datos si se cumplen algunos requisitos:
- Que el dueño de los datos dé su consentimiento explícito para la finalidad estipulada.
- Que este tratamiento se necesite para preservar la vida de su propietario, en caso de que fuera incapaz de dar su consentimiento.
- Que la empresa que trate los datos no sea religiosa o sindical, ni tenga ánimo de lucro o finalidad política o religiosa.
- Cuando el manifestante haga públicos estos datos sensibles.
- Cuando su tratamiento se encuentre en el marco de lo legal.
Dependiendo del caso, es posible que sea necesaria la realización de un informe de impacto sobre la privacidad (PIA).
Resumen de cómo cumplir con la normativa RGPD en España
A estas alturas ya ha quedado claro que si recoges y/o almacenas cualquier dato personal de un usuario de la Unión Europea debes cumplir con el Reglamento General de Protección de Datos de la UE ( RGPD).
Para garantizar todos los derechos que regula el RGPD necesitas implantar una serie de medidas que van mucho más allá de mostrar un aviso sobre el uso de las cookies.
Incluye todos los textos legales necesarios según tu situación, haciendo que sean siempre fácilmente accesibles para el usuario. Ponlos siempre en el pie de la web.
Como mínimo debes tener:
- Aviso legal
- Política de privacidad
- Política de cookies
En el caso de que vendas productos o servicios debes hacer constar también las Condiciones generales que regulan dicha venta o prestación de servicio.
Informa y pide permiso siempre para recoger y tratar cualquier tipo de dato personal. Ten en cuenta que la IP se considera un dato de este tipo. Respeta a tu usuario, pídele permiso para guardar sus datos, informándole claramente de los motivos, objeto, destino, etc. por los que necesitas dichos datos. Y, por supuesto, no pidas más de lo necesario.
Instala un certificado de seguridad. Debes proteger los datos de tus usuarios desde el momento en el que te los envían. Así que es necesario que tu web los transmita siempre cifrados, mediante HTTPS, con un certificado SSL.
Además, si tu intención es posicionarte en los buscadores o tienes una tienda online, el certificado SSL es absolutamente imprescindible. Es lo primero que te va a pedir cualquier pasarela de pago y ya sabes que Google muestra un hermoso aviso de web insegura en caso de que tu web no corra bajo HTTPS.
Sin embargo, el certificado SSL por sí solo no protege ni a tu web ni a tus usuarios. Has de tener algún sistema de seguridad que, además, te avise en caso de ataques y brechas de seguridad en tu instalación.
También has de contar con un procedimiento para detectar y reaccionar ante ataques o brechas de seguridad; así como de alguna forma de informar a los afectados y a las autoridades de control en caso de que se produzcan.
La protección de los datos de tus usuarios incluye saber en todo momento qué tratamiento de la información se está haciendo, del tipo que sea (actualización, borrado, modificación, etc.). Para ello debes contar con algún mecanismo de registro de actividad, por si detectas alguna incidencia de la que tengas que informar a tus usuarios.
Asegúrate de que todos tus colaboradores, proveedores de servicios, etc. con quienes compartas datos personales cumplen con la normativa y de que dispones de un sistema para evaluar su nivel de cumplimiento.
El oficial de protección de datos, o en su defecto el responsable de la web, tiene que poner a disposición de los usuarios un modo sencillo de garantizar los derechos de rectificación, actualización, borrado y portabilidad de los datos personales.
Y por fin llegamos a las famosas cookies. No vale con que avises de que tu sitio web las usa. Tu visitante ha de poder rechazarlas y rectificar en cualquier momento su decisión al respecto.
Debes disponer de un listado de todas las cookies presentes en tu web y éstas deben cargarse después de que el usuario haya consentido en ello. Si es necesario, debes impedir el acceso a tu web hasta que se haya dado dicho consentimiento.
Según mi parecer, la única forma válida para cumplir completamente con este apartado del RGPD es un aviso a pantalla completa, recargando la página una vez que el usuario haya aceptado el uso de las cookies.
Además, es conveniente que el aviso de cookies no afecte a los robots de los motores de búsqueda con el fin de que tu sitio web pueda ser rastreado e indexado por los mismos.
Terminando que se hace tarde
Que tu sitio web cumpla con el Reglamento General de Protección de Datos de la UE no solo es cuestión de herramientas, procedimientos y mecanismos. También implica un compromiso claro por tu parte con la privacidad y seguridad de tus visitantes, usuarios o clientes.
El proceso de adaptar tu web al nuevo RGPD no es un proceso demasiado tedioso, pero sí requiere de cierto tiempo y conocimientos técnicos. Además de una vigilancia continua para que no se produzcan brechas que afecten a los datos personales.
No hace falta ser abogado o técnico en informática para cumplir con la legalidad con un mínimo de garantías. Aunque no está de más que consultes con algún profesional especializado en el cumplimiento de la normativa RGPD.
Aunque, de momento, parece que las autoridades pertinentes no llevan a cabo una vigilancia exhaustiva, nunca se sabe cuándo van a cambiar de parecer al respecto.
Y, además, no estás libre de que un visitante borde, un usuario descontento o un cliente cabreado te denuncie. Y las sanciones son más que sustanciosas.
Si quieres saber más, te recomiendo que leas el artículo Cómo adaptar tu página web al RGPD y a la Ley de Protección de Datos de Marina Brocca para Ciudadano 2.0, parte de cuyo contenido he reproducido en éste.
Por mi parte, te puedo ayudar a evaluar si tu sitio web cumple con el RGPD y, en caso necesario, ocuparme de las acciones necesarias para que así sea.
Ponte en contacto conmigo si quieres que le eche un vistazo a tu sitio web y después hablamos de lo que necesitas para conseguir tu tranquilidad y el respeto de la privacidad y seguridad de tus visitantes o clientes.
Seguro que he pasado algo por alto o he cometido algún error, así que deja un comentario al respecto con el fin de solucionarlo. O simplemente para saludar, que me alegrará mucho saber de ti.
Glorioso!!
Si no es mucha molestia, enlazo este artículo desde mi temario. Porque estaba haciendo uno, que comparado con éste, y siendo sincera, da pena.
Un saludo y muchísimas gracias por la información.
Muchas gracias!
Por su puesto que no es molestia. Ya he leído algo de tu web y me gusta.
Me guardo tu temario en favoritos para ir consultándolo. La colección de temas promete 🙂
Saludos.
Post muy sintetizado y bastante completo sobre el tema. Se agradece mucho el esfuerzo para que el contenido no sea farragoso y sea comprensible para el común de los mortales. Gracias !!