Nuevo reglamento de protección de datos RGPD

Si tienes un blog o un negocio digital donde recojas datos de carácter personal, grábate una fecha a fuego: el 25 de mayo de 2018, que por cierto está a la vuelta de la esquina.
Esta es la fecha en que entrará en vigor el nuevo Reglamento Europeo sobre protección de datos y todos los que tenemos webs deberemos cumplir con una serie de directrices que hasta ahora no eran necesarias.
Muchos me preguntan si tenemos que cumplir ya los nuevos términos o debemos esperar al día 25.  Mi consejo es que lo cumplas ya, o al menos que empieces a dar los primeros pasos.
Pero solo te podrían sancionar por incumplimientos del RGPD a partir de ese día, ya que nos encontramos en un periodo de “vacatio legis” en el que todavía no es obligatorio.
Y te preguntarás, ¿tan graves serán las sanciones? …
La respuesta es SI, y mi consejo que “no te la juegues”. Porque a consecuencia de la reforma han aumentado las sanciones por incumplimientos en materia de protección de datos y las sanciones pueden llegar hasta el 4% de la facturación. Así no es algo para tomar a la ligera…
Veamos entonces con detalle qué novedades nos encontraremos a partir del 25 de mayo.
Pero primero de todo… ¿Qué es el RGPD, la LOPD y toda esta historia?
Probablemente te suene todo un poco complicado…, pero son temas que debemos tener en cuenta los que nos encontramos dentro de la Unión Europea.
Para que puedas entenderlo, la LOPD es la Ley Orgánica de Protección de Datos de carácter personal actual, que seguro te suena, y como bien sabes es una ley española.
Con este nuevo reglamento de protección de datos aparece también una nueva figura de autoridad que velará por controlar su aplicación. Se trata de un órgano independientemente creado por cada estado miembro que garantizará el cumplimiento de la normativa.

¿Cómo afecta la nueva ley de protección de datos a los emprendedores digitales y qué medidas debemos implementar?

1.- Con el RGPD es necesario ampliar la información

Respecto a la obligación de información, tendríamos que hacer una comparativa con la LOPD actual y lo que se ha venido aplicando hasta ahora.
Hasta la fecha, esta información se hacía en una sola capa, por lo que básicamente venía a incluirse en la Política de Privacidad cierta información previamente a recoger los datos de carácter personal en los formularios de suscripción.
Con el nuevo Reglamento Europeo sobre Protección de Datos esta información previa a la recogida de los datos se intensifica y pasa a ser un tanto antiestética de cara al diseño.
Esta información se debe realizar en dos capas, algo parecido a lo que ocurre con las cookies con el típico aviso que nos encontramos al entrar en las webs.
¿Te suena?
Y en los formularios de suscripción, la AEPD nos recomienda hacerlo incluyendo un enlace de “+info”
Ahora, ese mensaje, habría que adaptarlo al formulario más o menos así:

La información debe ser fácil de entender, clara, concisa y bien estructurada. Tratando de evitar al máximo el abuso de citas legales e historias que solemos meter los abogados (con lo que nos gustan las florituras legales …).
En definitiva, que cualquier persona pueda comprenderlo sin necesidad de mucho esfuerzo ni conocimiento.
La segunda capa, por tanto, es la Política de Privacidad propiamente dicha, donde se deberán recoger todos los aspectos que se establecen en el primer cuadro, y la cual ves que está enlazada desde el texto que hemos añadido debajo del formulario.
El resultado debería ser algo parecido a las políticas de privacidad de Monetizados.
2.- El nuevo reglamento de protección de datos exige un consentimiento expreso.
Igualmente vamos a ver una comparativa con lo que existían en la anterior Ley Orgánica de Protección de Datos y la reforma que se ha producido con el nuevo RGPD.
Con la antigua ley,  lo que existían eran dos tipos de consentimiento.

  • Por un lado existía el consentimiento tácito, que es aquel que se concede cuando se acepta algo sin necesidad de hacer ninguna manifestación, sino que se realiza mediante acto o acciones que así lo indican.
  • Y por otro lado el consentimiento expreso, aquel que se manifiesta verbalmente, por escrito o por signos inequívocos.
¿Cómo podemos traducir esto al mundo online?
El consentimiento tácito, sería aquel que se otorga por el mero hecho de conceder los datos de carácter personal sin necesidad de realizar ninguna otra acción, por ejemplo con todos estas cajas de suscripción que siempre han existido y un famoso asterisco con el que aceptabas las políticas de privacidad.
El consentimiento expreso, se otorga al hacer click aceptando estas políticas.
Por lo tanto, ya se acabó el presuponer el consentimiento, o tener casillas “premarcadas”, sino que además, se nos exige el poder acreditarlo.
Estamos hablando de un campo nuevo como el de la siguiente imagen, que tendrá que estar desmarcado por defecto, y tendrán que activar para poder suscribirse:
Por tanto, según el nuevo reglamento de protección de datos, a partir de ahora es obligatorio que nuestros formularios cumplan dos requisitos:
  • Una casilla de verificación para aceptar las políticas de privacidad. 
  • Doble opt in, es decir, ese correo que les llegará nada más suscribirse, donde tendrán un enlace/botón, para confirmar su suscripción. 
La mayoría se cuestiona la necesidad de este correo, por temas de conversión, obviamente.
Siempre pongo el mismo ejemplo:
imagina que un hater  se quiere suscribir a tu blog, y como correo electrónico, pone el de la Agencia Española de Protección de Datos (AEPD); al no haber “doble opt in”, le llegará tu autorresponder, o peor aún, correos comerciales que no ha solicitado, por lo que tu sistema de consentimiento estaría fallando, presentaría lagunas, y la sanción la tendrías a la vuelta de la esquina.
Esta es la forma de poder llevar a cabo y a buen puerto el consentimiento.
Este consentimiento debe ser específico, es decir, para un fin concreto que habremos establecido en nuestra información. Y debe ser verificable, es decir, que se nos exige la obligación de poder acreditarlo.

3.- El ámbito de aplicación del RGPD traspasa fronteras

Aquí viene una de las novedades más importantes con las que nos encontramos tras la reforma que entra en vigor recientemente.
Con la LOPD anterior, únicamente era de aplicación en países miembros de la Unión Europea. Pero a partir de mayo el ámbito de aplicación se amplía a todo el mundo. ¡Pero espera! que esto tiene su explicación…
Esto significa que  cualquier persona que trate datos de carácter personal de usuarios de la Unión Europea, se verá en la obligación de cumplir con el RGPD.
Por ejemplo, un colombiano que recoja leads de españoles, tendría que cumplir con el RGPD, y se le otorgaría potestad a la Autoridad de Control para reclamar y exigir ese cumplimiento.
Como veis, esto viene siendo algo serio, ya que se están ampliando las fronteras en cuanto a cumplimiento legal de la ley de protección de datos se refiere y empezarán a surgir convenios bilaterales entre países para exigir y perseguir esta obligación.
Entonces, los que estéis fuera de la UE os preguntaréis, ¿debo cumplir el RGPD o la ley de mi país?
Lo que viene a decir la norma es que tendrás que cumplir con el RGPD y nombrar a un representante en la Unión Europea que sea nexo de unión entre la Autoridad de Control, y tú.
No obstante, tendremos que dejar pasar un poco de tiempo para ver cómo se conjuga esta obligación, porque va a depender también de la cooperación entre diversos Estados, por lo que intuyo que a partir de ahora irán apareciendo convenios entre países y la Unión Europea para poder perseguir este tipo de conductas.
Por ahora no te alarmes porque es algo pendiente de desarrollar, y veremos cómo avanza, ya que técnicamente lo veo complicado de llevar a cabo.
En definitiva, deberás cumplir ambas normativas, es decir, la de tu país y la europea.
4.- Se debe incluir un aviso legal en los mails
También en los correos será necesario introducir una nota legal que informe al receptor del motivo por el cual lo está recibiendo y de la confidencialidad con que serán tratados sus datos.
Este es un ejemplo de texto que debería incluirse al final de cada mail:
“Estimado usuario, para mi es muy importante la privacidad, por ello, en cumplimento del nuevo RGPD te recuerdo que recibes este email porque te has suscrito de manera voluntaria a mi lista de correo electrónico. Tus datos se almacenarán en un fichero denominado “Usuarios Web y Suscriptores”, establecido en mi Registro de Actividades de Tratamiento, con la finalidad de enviarte correos electrónicos. Asimismo, te informo de que tus datos serán tratados con la mayor confidencialidad posible y que con tu aceptación estarías mostrando tu consentimiento a recibir correos electrónicos comerciales propios o sobre productos de terceros. En cada comunicación que recibas de esta web tendrás la opción de darte de baja de esta lista y revocar tu consentimiento”.

5.- Se debe realizar un registro de actividades para la Agencia Española de Protección de Dato

Como seguramente sabrás, actualmente existe la obligación de dar de alta un fichero a la AEPD para informar de los datos que recabamos en nuestro negocio.
A partir de ahora ya no será necesaria esta obligación, pero ello no significa que desaparezca por completo, sino que se sustituye por otra parecida.
En la actualidad, lo que tenemos que realizar o llevar a cabo es un registro de actividades de tratamiento donde la Agencia de Protección de Datos (AEPD), en su afán de facilitarnos las cosas y las tareas, ha creado una aplicación que se llama FACILITA.

Para poder continuar con la herramienta, tu actividad no se debe encontrar en ninguna de las categorías, por lo que si señalas en las 3 opciones “ninguno de los anteriores”, te dará paso a rellenar un formulario como este:

Continuaremos con una pantalla como la siguiente, donde tendremos que rellenar si captamos datos de potenciales clientes, es decir, si captamos leads, para luego rellenar qué datos, de donde se obtienen y si compartimos esos datos (espero que no). Éstas últimas características las rellenaremos marcando las casillas que al efecto se establecen.

Les seguirá haciendo preguntas, y finalmente acabaremos en una página como la siguiente:

Puedes aprovechar la herramienta para comenzar a realizar tu adaptación al Nuevo Reglamento Sobre Protección de Datos, donde nos creará de forma automática el registro de actividades de tratamiento.
No es más que hacer lo mismo que se hacía ante la Agencia Española de Protección de Datos pero registrado de forma interna, es decir, en tu propia documentación. Deberás establecer qué tipo de ficheros tienes, con qué finalidad los usas y durante cuánto tiempo los conservas.
Con esto se ahorran trámites burocráticos que antes se exigían, quedando la pelota en nuestro tejado en cuanto a cumplimiento se refiere.
Por tanto la herramienta FACILITA nos ayuda a “arrancar” con la Protección de Datos pero el documento que genera no es suficiente, tenemos que hacer también todos los textos que estamos viendo en este post.
6.- El RGPD exige modificaciones en los contratos con encargados de tratamiento
Es necesario hacer también retoques en este tipo de contratos.
En realidad, hay que establecer una serie de derechos y obligaciones que difieren de los que teníamos hasta ahora.
Pero, ¿quiénes son estos encargados de tratamiento?
Son aquellas personas que tienen acceso a los datos de carácter personal de nuestro negocio, y de nuestros clientes pero que no hacen uso de ellos, sino que únicamente los utilizan para las finalidades que tenemos encomendadas.
Por ejemplo, encargado de tratamiento podría ser nuestro gestor, que tiene acceso a los datos de los clientes para elaborar los impuestos, o un informático que revise nuestra web. Son personas que pueden tener acceso a esos datos pero que bajo ningún concepto podrán utilizarlos.
Tendríamos que rellenar el contrato estableciendo qué tipo de finalidades son las que se van a llevar a cabo mediante el tratamiento, y sobre todo, necesitamos  comprobar que se van a cumplir medidas de seguridad por parte del encargado de tratamiento.
De forma sencilla, ¿quieres saber cómo rellenar este contrato?. La Agencia Española de Protección de Datos (AEPD) ha elaborado una mega guía súper útil, échale un ojo porque viene bastante detallado. Al final se recoge un anexo que te puede servir de prototipo para realizarlo correctamente.
7.- Con el nuevo reglamento de protección de datos RGPD aparecen nuevos derechos
Con la Ley Orgánica de Protección de Datos actual tenemos los famosos “derechos arco” (Acceso, Rectificación, Cancelación y Oposición). A partir de ahora, con la reforma de la ley, aparecerán nuevos derechos.
Estos derechos serán:
  • check  El derecho a la portabilidad y no limitación del tratamiento 
  • checkEl derecho al olvido (que surgió tras una sentencia del tribunal de justicia de la Unión Europea contra Google).
Por lo tanto, tendremos que saber dar cobertura a estos derechos si es que nos lo solicitan nuestros clientes.
Igualmente, la Agencia Española de Protección de Datos tiene a tu disposición una infografía bastante dummie para entender los nuevos derechos:
8.- El RGPD no quiere “coletillas legales”
Con la aparición del RGPD y las nuevas exigencias en lo que a la información previa se refiere, deberás revisar las coletillas legales que tengas establecidas en contratos, o en tu firma de email.
Para que puedas entenderlo, en los contratos, deberás establecer la información previa o primera capa antes de la firma, la que hemos visto anteriormente en la imagen de la Agencia Española de Protección de Datos, para posteriormente en un anexo, dejar establecida toda la segunda capa de privacidad.
Antes se establecía un pequeño párrafo referente a la privacidad, y con eso era suficiente. Ahora como ves, se refuerza la información respecto a la protección de datos.
Igualmente, deberás de revisar tanto en el correo de confirmación o “doble opt in” un texto donde recuerdes para qué finalidad usarás los datos, quién es el responsable del fichero y cómo recogerás esos datos.
Este es un ejemplo de uno de los correos de doble opt in que manda Javi:
9.- Ahora es necesaria una doble confirmación de suscriptores
Otra de las medidas que necesitarás implementar es enviar un email a toda tu lista cuando modifiques la política de privacidad y crear una automatización mediante la cual, si no aceptan el consentimiento, desaparecerán de la lista.
Muchos se llevan las manos a la cabeza con esto y se preocupan pensando que todo esto afectará a la conversión. Es algo que me preguntan muy a menudo…
Mucho se oye al respecto de “the money is in the list”.
Pero piensa, ¿para qué quieres una lista de 5.000 contactos si al final ni la mitad te leen ni tampoco quieren comprarte?
Mi consejo es: aprovecha este email para hacer limpieza de tu lista de contactos y de camino cumple con el RGPD.

En este punto es importante que tengas clara una cosa… Yo mismo tendré que pedirte que aceptes la política de privacidad si estás suscrito en mi lista de emails.
Y por eso, he creado algo muy simple como lo que verás a continuación. Si no quieres que te esté mandando emails para este asunto en los próximos días, no pierdes nada en hacerlo en un segundo 😉
Solo tendrás que poner tu email con el que estás en mi lista, y aceptar la política de privacidad marcando la casilla y dando al botón 🙂
Responsable: Monetizados online SL, siendo la Finalidad; envío de mis publicaciones así como correos comerciales. La Legitimación; es gracias a tu consentimiento. Destinatarios: tus datos se encuentran alojados en mis plataformas de email marketing Active Campaign ubicada en EEUU y acogida al Privacy Shield. Podrás ejercer Tus Derechos de Acceso, Rectificación, Limitación o Suprimir tus datos en contacto@monetizados.com. Para más información consulte nuestra política de privacidad
10. Notificación de incidencias a la Agencia Española de Protección de Datos
Siempre es recomendable tener previsto un plan para la gestión de crisis. Tenemos que adelantarnos a los posibles problemas o violaciones de seguridad en los datos que pudieran surgir, y en caso sufrir este tipo de contratiempo (por un hackeo, por ejemplo), deberás  informar a la autoridad de control antes de las 72 horas siguientes, y a los afectados, en los casos que la Ley nos lo exija.
Un ejemplo de violación de seguridad en los datos podría ser una pérdida o robo de datos de tus clientes y/o suscriptores, o si tuvieras tu base de datos en Dropbox, si fuera hackeada.
Pero ¿cómo notifico esta incidencia a la Agencia Española de Protección de Datos? Desde el siguiente enlace:
https://sedeagpd.gob.es/sede-electronica-web/
En el apartado “notificación preceptiva de quiebras de seguridad”.
En cuanto a medidas de seguridad, te aconsejo que de vez en cuando eches un vistazo a la página del Instituto Nacional de Ciberseguridad donde aportan mucha información y muy visual también.
No está de más decir que es importante que entre otras medidas de seguridad a cumplir, tu negocio online disponga de certificado SSL, sobre todo si se realizan transacciones económicas.
Seamos prácticos, ¿en realidad todo esto del RGPD sirve para algo?
Claro que sí, sobre todo porque nos exponemos a sanciones económicas muy importantes como ya has podido observar.
No miento si te digo que he tenido clientes que han tenido que echar la persiana por una sanción de 6 cifras.
Es una temática que está a la orden del día con sanciones sobre todo a grandes empresas, como puede ser Facebook o Whatsapp.
Facebook, por ejemplo, está solicitando consentimiento para recoger datos sensibles:

Google también ha hecho más de lo mismo con Analytics:

Los organismos públicos se están tomando muy en serio todo este tema relacionado con los datos de carácter personal pues no olvidemos que es un derecho constitucional que tenemos reconocido, como es el poder de control de nuestros datos personales.
A día de hoy, todos sabemos que los datos son oro puro, y cada día estamos a la caza y captura de ellos.
Por lo tanto, es necesario que exista un mecanismo que regule este mercadeo, aunque si bien es cierto, bajo mi punto de vista no debería de ser algo tan estricto.
No obstante piensa también, que por un lado nos encontramos con que es una obligación que tenemos cuando ejercemos nuestro negocio, pero por otro lado, es un derecho que tenemos cuando actuamos en calidad de consumidores.
La importancia del cumplimiento de las medidas de seguridad con el RGPD
Con el RGPD se ha dotado de mucha importancia a las nuevas medidas de seguridad, ya que debes estar alerta en todo momento y tener previsto un plan para la gestión de crisis.
Tenemos que adelantarnos a los posibles problemas o violaciones de seguridad que pudieran surgir, y debes saber que, en caso de sufrir este tipo de contratiempo, tenemos que informar a la autoridad de control antes de las 72 horas siguientes (en España es la Agencia Española de Protección de Datos), y al interesado, en los casos que la Ley nos lo exija.
Para ello, te aconsejo que de vez en cuando eches un vistazo a la página del Instituto Nacional de Ciberseguridad donde aportan mucha información al respecto.

No está de más decir que es importante que, entre otras medidas de seguridad a cumplir, tu negocio online disponga de certificado SSL, sobre todo si se realizan transacciones económicas.

Debemos cumplir con determinadas medidas de seguridad encaminadas a garantizar la conservación de los datos, restricciones de accesos con contraseñas, realización de copias de seguridad, etc.

¿Con los textos es suficiente para cumplir con el nuevo reglamento de protección de datos?
No, existen muchas obligaciones como habrás visto a lo largo del artículo, ya que  poner tres textos no te salvará de posibles sanciones.
La reforma del Reglamento no es más que un toque de atención para crear una política de empresa basada en el Cumplimiento Legal, que abarca mucho más que la Protección de Datos.
Debes ser consciente de que cumplir con la legalidad en un entorno digital no es solamente estar adaptado la Protección de Datos, como muchos piensan. Detrás de ello hay mucha más normativa que tendremos que tener en cuenta para estar 100% adaptados.
Resumiendo, ¿qué cumplimientos legales tendremos que tener en cuenta?
1.- Deberás cumplir con tus obligaciones tributarias.
Si vas a emprender un negocio online, tendrás que darte de alta en Hacienda en el epígrafe correspondiente para que puedas realizar facturas y cobrar por tu trabajo.También tendrás que darte de alta en la Seguridad Social como autónomo, pudiendo aprovechar la cuota bonificada de 50 euros que tenemos actualmente, eso sí, luego subirá a casi 270 euros al mes. Mi consejo es que te des de alta como autónomo aunque no llegues al Salario Mínimo Interprofesional, y si prevés que puedes tener un negocio más o menos estable a corto plazo.
2. Al tener un negocio digital, tendrás que cumplir con la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico.
Con esta Ley cumpliremos con las comunicaciones comerciales y sobre todo, evitar el SPAM, que se castiga fuertemente. En esta Ley, viene establecido cómo cumplir con las cookies, no existe una Ley como tal, sino que es el artículo 22.2 de la LSSI donde se regula.
3.- En el caso de crear un infoproducto o incluso si operas bajo t​​​​u marca, deberás cumplir con  la Ley de Propiedad Intelectual.
Con ello podrás registrar tu marca, por lo que tendrás una serie de derechos que te ampararán en determinadas situaciones.Igualmente, en caso de querer registrar el contenido de tu blog para que no sea copiado, también puedes hacerlo, para ello existe SafeCreative.

Si vendes infoproductos deberás cumplir, con la Ley General para la Defensa de los Consumidores y Usuarios, donde se regulan los derechos y obligaciones tanto de empresarios como consumidores.

En resumidas cuentas, uno de los aspectos que más te afecta es que se regula todo lo referente a la devolución del dinero en caso de adquisición de bienes y servicios, cuando procede y cuando no, teniendo obligación de redactar unas condiciones de contratación, ya que una de las exigencias de esta Ley es el deber de información del “empresario”.
Aquí deberemos establecer quienes somos y donde nos encontramos, qué productos o servicios vendemos, qué precio tienen, cómo se puede contratar así como el idioma de contratación.
Bueno, no sé si serás como yo que todos estos temas me dan bastante pereza.
Durante estos días, iremos terminando de retocar todos los formularios, cambiando a doble opt-in los que no lo eran, etc. En definitiva, dejando todo a punto para la querida cita del 25 de Mayo.
Has visto ya las medidas que tendrás que tomar en emails en los formularios y demás… Y seguramente con las indicaciones que te he dado puedas llegar a implementarlas.
Si de todas formas te queda alguna duda, necesitas que se amplíe más la información de algún apartado en concreto, o cualquier cosa que te pueda ayudar, vamos a aprovechar que tendremos a Raúl pendiente por aquí para preguntarle todo lo que necesitemos.

 

rodrigoclaroalonso
No hay comentarios

Deja tu comentario