Después del RGPD-day del 25 de Mayo aún quedan muchas dudas sobre el nuevo reglamento de protección de datos, especialmente en las pymes que no tienen claro cómo adaptar una web corporativa a la RGPD de forma sencilla.

Este tema ha sido el epicentro de muchas de las consultas realizadas en la última semana, por lo que intentaré ir al grano y ser lo más claro posible, sin meterme en berenjenales técnicos y jurídicos.

Sobre el RGPD

Es un marco regulatorio a nivel europeo sobre el tratamiento de datos personales que entró en vigor el pasado 15 de mayo de 2016, y tras un periodo de adaptación de dos años pasa a ser de obligado cumplimiento. El Reglamento de de protección de datos pretende crear una verdadera cultura de la protección de los datos, obligando a que las empresas se responsabilicen no solo de proteger los datos (que era el objetivo principal en la LOPD) sino también de garantizar un uso adecuado de los mismos.

¿Quién debe cumplir el Reglamiento de Protección de Datos?

El RGPD es de obligado cumplimiento para todo aquél que recoja datos personales de ciudadanos europeos (incluyendo empresas, profesionales autónomos, asociaciones sin ánimo de lucro, administraciones, etc..) y ello con independencia de la actividad que realicen o si tienen o no página web corporativa. No es un reglamento “técnico” sino de cómo se deben tratar correctamente los datos personales.

Categorias de datos personales y su tratamiento

En el nuevo reglamento de protección de datos se establecen diferentes categorías de datos personales, según el grado de protección que requieran. El caso típico de una pequeña empresa de servicios lo normal es que necesite datos identificativos, tanto de clientes como de usuarios interesados, datos laborales de los trabajadores y datos económicos de sus clientes.

Respecto al tratamiento, el mismo se define como cualquier operación o acción que se realice con datos personales previamente obtenidos: almacenamiento, clasificación, comunicación a otros, etc…

El primer paso: analizar la web

El primer paso que hay que hacer antes de ningún otro es analizar en detalle la web que queremos adaptar.

El objetivo de este análisis es conocer que datos personales se van a tratar, quien lo va a hacer y con que objetivo. Es parte de lo que se llama registro de actividades de tratamiento , un registro que si bien no es obligatorio en todos los casos, es recomendable hacerlo.

En nuestro caso concreto, la web es muy básica: solo dispone de un formulario de contacto típico (solicita como datos personales el nombre, email y teléfono) y además usa Google Analytics para gestionar la analítica de la página. Para simplificar, las solicitudes de contacto se almacenaran en la propia web y se reenviarán por correo al responsable de la web.

Acerca del consentimiento expreso obligatorio

El nuevo Reglamento de Protección de datos establece como obligado el consentimiento expreso para el tratamiento de datos personales. Es decir que éste consentimiento ha de ser comunicado y aceptado de forma explícita por el usuario en el momento de obtener los datos. Es lo que se denomina en la norma como consentimiento explícito.

Ya no son suficientes las cláusulas implícitas como por ejemplo “dando estos datos das el consentimiento a su uso…“, sino que es necesario disponer de una casilla (o cualquier otro medio) que el usuario deba marcar para aceptar el uso de los datos. Este consentimiento hay que almacenarlo indicando la fecha de su obtención, de manera que podamos demostrar que el usuario lo ha prestado.

¿Cómo se solicita el consentimiento en una web corporativa?

En una web corporativa hay que solicitar el consentimiento para el tratamiento cada vez que un usuario nos entrega algún dato personal en cada uno de los formularios.

En el caso de una web corporativa sencilla, en el formulario de contacto hemos de incluir un checkbox que el usuario pueda marcar al mandar sus datos personales.

Para que ese consentimiento explícito sea válido, el usuario debe se informado en el momento de prestarlo sobre cuál será el tratamiento que se le darán a sus datos personales. Eso requerirá que al menos se incluya en cada formulario un pequeño extracto de la política de protección de datos de la empresa.

¿Cómo debe ser ese extracto informativo?

Sobre todo debe ser conciso y usar un lenguaje claro que los usuarios puedan entender.

Debe incluir:

  1. Identidad y datos de contacto del responsable del tratamiento.
  2. La finalidad del tratamiento.
  3. El plazo durante el cual se tratarán los datos.
  4. A quien se le comunicarán los datos obtenidos.
  5. Informar sobre los derechos que tienen los usuarios y que pueden solicitarlo al responsable del tratamiento.
  6. Información adicional y enlace a la política de privacidad.

En el caso normal de un formulario de contacto típico web, el texto quedaría algo similar a este:

Responsable del tratamiento de datos: XXXXXXX - NIF: XXXXXXXX Dir. postal: XXXXXXXX Teléfono: XXXXXXXX  Correo: XXXXXXXXX@XXXXXXX
“En nombre de la empresa XXX tratamos la información que nos facilita con el fin de enviarle información relacionada con nuestros productos y servicios por cualquier medio (email o teléfono) e invitarle a eventos organizados por la empresa. Los datos proporcionados se conservarán mientras no solicite el cese de la actividad. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en la empresa XXX estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexacto o solicitar su supresión cuando los datos ya no sean necesarios para los fines que fueron recogidos enviando un correo elecronico a XXXXXXX@XXXXXXX. Puede leer con detalle nuestra política de privacidad

Hay que recordar que este texto debe ser un extracto simplificado del texto legal de la política de protección de datos, por lo que debe ir acompañada de un enlace hacía la página de la política.

¿Que documentos legales debe tener la web?

Para adaptar una web corporativa básica al nuevo reglamento de protección de datos deben existir al menos 3 documentos legales:

  • Condiciones de uso y propiedad intelectual
  • Política de privacidad
  • Política de cookies

Estos documentos deben ser apropiados y específicos del sitio web y deben ser fácilmente accesibles desde cualquier lugar de la web.

Hay veces que se fusionan en una sola página, pero personalmente no lo recomiendo para facilitar su lectura por los usuarios.

¿Cómo es la política de protección de datos?

Tambien se llama política de privacidad y es donde se detalla en mayor profundidad y con todo detalle los derechos que tienen los usuarios, los datos concretos que se almacenan, que técnicas se van a usar para asegurar la salvaguardia de los mismos, etc. Los usuarios han de aceptarla antes de proporcionar algun dato en la web.

Es especialmente importante que este escrito en un lenguaje claro, sencillo y fácilmente entendible por los usuarios de la web.

Un índice típico de política de privacidad es el siguiente:

  • Declaración de responsabilidad en el tratamiento de los datos de los usuarios.
  • Listado de leyes a las que se acoje la web (LOPD, RGPD…).
  • Datos del responsable del tratamiento
  • Principios que rigen la política de privacidad (licitud, lealtad, transparencia, plazos de coservación, integridad y confidencialidad).
  • Detalle de los datos que se recogen del usuario y en que momento se hace (en que formularios). Hay que incluir tambien los datos referentes a la analítica web (Google Analytics por ejemplo), en caso de que se use y las diversas cookies que se puedan usar (normalmente se enlace a otra página legal con la política de cookies)
  • Declaración de exactitud de los datos y quien se responsabiliza de ello (normalmente el propio usuario).
  • Derechos que asisten al usuario respecto a sus datos: solicitar el acceso a los datos, solicitar su rectificación o supresión, solicitar la limitación de su tratamiento, oponerse al tratamiento y solicitar la portabilidad de los datos.
  • Informar sobre del derecho a presentar una reclamación ante la Agencia Española de Protección de Datos si se vulneran los derechos.
  • Finalidad de los distintos tratamientos que se realizarán con los datos solicitados a través de la web (todos los tratamientos)
  • Indicar con quienes se van a compartir esos datos (sobre todo hay que indicar los proveedores que participan en el funcionamiento de la web: alojamiento, servicios de analítica, servicios de email marketing)
  • Duración de tiempo por la que se conservarán los datos.
  • Indicar que acciones se tomarán por parte del responsable de datos para asegurar la privacidad de los datos (SSL, encriptación de datos,…)
  • Indicar en que se legitiman los tratamientos que se realizarán (al menos será el consentimiento explícito).
  • Indicar que existe la posibilidad de revocar el consentamiento explícito anteriormente aceptado. Esto debe poder hacerse de forma sencilla.
  • La fecha de la última modificación de la política.

Hay múltiples ejemplos y plantillas de políticas de privacidad circulando por internet, pero hay que asegurarse de revisarlas bien y adecuarlas al caso particular, ya que cada web es diferente.

Si usas WordPress como gestor de contenidos, en la última actualización ofrece recomendaciones para crear una política de confidencialidad básica que te puede ayudar a tenerlo un poco más claro, aunque siempre que sea posible, es mejor que te pongas en manos de un experto que pueda ayudarte.

En el escritorio de WordPress, dentro de ajustes > privacidad

¿Que pasa con Google Analytics?

Al usar un servicio de analítica como Google Analytics estamos cediendo los datos de navegación de los usuarios de la web a una empresa externa (Google Inc). Se tratarán como si fueran datos personales del usuario pero que son automáticamente recolectados a través de cookies.

No hay problema legal en realizarlo, aunque suponga un traslado de datos internacional, porque Google, aunque esté ubicada fuera de la UE,  cumple el acuerdo marco Escudo de la privacidad UE – USA con lo que asegura que tratará los datos conforme al RGPD.

Pero hay que asegurar que en todo momento el usuario sepa que se está realizando esta acción (por lo que hay que indicarlo claramente en la política de privacidad) y que de su consentimiento, algo que usualmente se hace en cuanto se carga por primera vez alguna página. 

¿Y que pasa con los ficheros de datos de la LOPD?

La LOPD (Ley orgánica 15/1999) sigue vigente, aunque está pendiente su revisión para adaptarla al nuevo RGPD. En los artículos en los que se contradiga la ley y el reglamento, prevalecerá el reglamento.

En el caso de los ficheros de datos que había que inscribir en la Agencia Española de Protección de Datos, con la RGPD desaparece la obligación de hacerlo.

¿Es suficiente cambiar los textos legales y formularios para adaptar la web al RGPD?

Evidentemente no. Los textos legales de la web y la información expuesta en los formularios no garantizan por sí mismos que se esté aplicando correctamente el reglamento de protección de datos.

Todo esto debe ir acompañado con la implantación de una verdadera cultura de protección de datos en la empresa, definiendo claramente las actividades de tratamiento de datos personales  que se van a realizar y responsabilizándose de los procedimientos para garantizar los derechos de los afectados en relación al tratamiento de sus datos personales.

Si todo esto te sigue resultando un lio y tienes dudas sobre como hacerlo, no  dudes en dejarme un comentario o ponte en contacto conmigo a traves de la página de contacto.