RGPD

El mayor activo ​que tiene cualquier web son los usuarios y suscriptores, una web no vale nada sin visitas​, dedicar recursos a proteger este activo es mucho más que una obligación, ​es puro sentido común​. Con la actual legislación, ​no podrás seguir administrando ese activo ​si no eres capaz de legitimar tu base de datos de usuarios y suscriptores. 

El nuevo reglamento europeo de protección de datos no se anda con chiquitas, ​las exigencias serán mayores​ para todos los que recojan, gestionan y almacenan datos personales, tu web no podrá eludirlas si quiere seguir en pié.

La ley exige ​aportar evidencias de cumplimiento claras e inequívocas. Los profesionales quedarán retratados: ​los datos son el petróleo en una sociedad digital​, serán los propios usuarios los que pongan la ​línea roja entre los blogs que hacen un uso seguro y responsable de sus datos y los que no. 

Adaptación de una página web a la Ley de Protección de datos y el RGPD

Comencemos por lo básico: ¿cuándo deberías cumplir con el RGPD en una web?

Escucho muchas veces esto de “pero si yo no monetizo y solo tengo un formulario de contacto”.

Lo que deberías saber es que, en principio, siempre que recabes cualquier dato personal, aunque solo sea una IP, siempre deberías adecuar tu actividad al RGPD, aplicado a una web, entre otros supuestos, si:

  • Ofreces un servicio en tu web.
  • Tienes un formulario de contacto, suscripción o de comentarios.
  • Vendes productos o servicios.
  • Trabajas con algún esquema de afiliados.
  • Guardas en alguna parte de tu web, tu servidor o tu PC algún dato de los visitantes de tu web.
  • Tienes publicidad en tu web.
  • Tienes Google Analytics en tu web.

Los casos excluidos de esta obligación los puedes encontrar en el artículo 2.2 del RGPD. El caso más común de todos ellos es el uso estrictamente privado o doméstico (la agenda de tu teléfono particular, por ejemplo).

Sin embargo, un simple blog personal, sin mayores pretensiones, con una simple sección de comentarios ya incumpliría esto porque es un sitio web público que recoge datos personales. No se puede considerar algo estrictamente personal y privado tuyo

Adecuar tu RGPD para tu Web (Lssi)

LSSi

Básico
150 Anual
  • Registro de actividades de tratamiento
  • Análisis de riesgo
  • Documento de seguridad
  • Evaluación de impacto
Básicos

LSSi

Comercio
250 Anual
  • Registro de actividades de tratamiento
  • Análisis de riesgo
  • Documento de seguridad
  • Evaluación de impacto
Comercios
  1. Actualizar y reforzar todas las políticas legales de la web (aviso legal, política de privacidad, política de cookies), tener mayor precisión y claridad al redactarlas, atendiendo a todos los puntos que el reglamento te exige informar. Estos textos legales deben aparecen en el footer de la web.
  2. Revisar si los formularios de tu web permiten obtener el consentimiento de forma adecuada comprobando que este consentimiento sea explícito, inequívoco, específico y verificable.
  3. Realizar un registro de actividades de tratamiento (RAT) en donde se analicen cada uno de los tratamientos y de las medidas de seguridad a aplicar, en función del riesgo de cada uno.
  4. Se debe informar por capas, eso implica insertar una cláusula legal visible en cada formulario que exponga los puntos básicos y que esté sujeta a aceptación por parte del usuario, antes de enviar sus datos.
  5. Preparar cláusulas informativas específicas para el correo electrónico y el envío de boletines; el consentimiento debe ser revocable y, por tanto, en cada nueva comunicación debes habilitar un mecanismo que permita al usuario desistir de nuevas comunicaciones.
  6. Si se utilizan datos personales para marketing directo será necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento.
  7. Desarrollar un registro de todos los consentimientos que hayas obtenido; uno de los requisitos del consentimiento es que sea verificable, esto implica asegurarnos de que nuestra plataforma de email marketing nos permita contar con este registro, tal como explico en este otro post.
  8. Regularizar los registros antiguos: todos los registros que almacenemos deben cumplir los requisitos de consentimiento expreso; para ello será necesario crear una campaña que permita confirmar los consentimientos y otorgarnos un consentimiento expreso.
  9. Preparar contratos personalizados de encargo de tratamiento con todos los colaboradores con quienes compartan datos y tener un sistema para evaluar su nivel de cumplimiento.
  10. Habilitar mecanismos claros para que usuarios y clientes puedan ejercer sus derechos ARCO ampliados de manera sencilla y electrónica; para eso también deberás contar con modelos para ejercitar estos derechos y modelos de respuesta.
  11. Implantar las medidas de seguridad adecuadas al riesgo de los tratamientos llevados a cabo en tu web.
  12. Mantener un sistema de controles periódicos que garantice un cumplimiento real y el principio de responsabilidad activa.