Cómo y porqué podrían sancionarte si tienes una web

¿Sanciones RGPD en mi web?

¡Venga!

La posibilidad de ser sancionado por incumplir el RGPD en tu web te parece tan improbable cómo absurda. Pero no es el cuento del coco, créeme.

¿De verdad pueden sancionarte si sólo tienes una web o un blog?

¿Crees que nadie va a denunciar a una web o a un  blog que sólo tiene datos de suscriptores?

¿Crees que sólo reciben sanciones empresas como Facebook o Google?

Las leyes son para todos y están para cumplirse, grandes y pequeños, empresas o autónomos, con grandes volúmenes de datos tratados o unos pocos y el incumpliendo implica exponerse a toda la maquinaria sancionadora.

Y si no, mira la siguiente imagen, cualquier web puede ser denunciada si carece de cumplimiento legal:

Aquí el procedimiento completo

O esta otra, a una escuela de danza, cuyas políticas hacían referencia a una ley derogada y no se requería el consentimiento conforme exige el RGPD para el tratamiento de imñágenes de menores.

Pero no desesperes, siempre puedes evitarlas, así que sigue leyendo.

Por supuesto el riesgo no es el mismo ni la cuantía de las sanciones, pero eso no significa que las webs o blogs estén exentos de sufrir sanciones por incumplimiento del RGPD.

En este post sólo voy a explicar aspectos concretos por los que una web  podría ser sancionada y las cuestiones que realmente afectan a una web.

¿Dónde se regulan las sanciones a un blog?

No hay un apartado específico para webs o blogs, las infracciones en general se recogen en 2 regulaciones:

1. En el RGPD, las sanciones están recogidas en los apartados 4, 5 y 6 del artículo 83
2. En la a LOPDGDD en el Título IX.

¿Que webs pueden ser sancionadas por el RGPD?

No sé dónde sale sale el bulo colectivo que dice que sólo  pueden ser sancionados los dominios .es

Mi web no podría ser sancionada por ejemplo ya que es .com

¿Estamos tontos?

No sé de dónde sale ese razonamiento tan disparatado y absurdo, que he tenido que desmentir en varias ocasiones en Twtter:

El #RGPD aplica cualquier tratamiento de datos de ciudadanos europeos y es independiente del dominio y la extensión, pueden sancionar a cualquier blog de cualquier lugar del mundo si que infrinja lo estipulado en la ley en el tratamiento de datos de europeos.

— Marina Brocca (@marinabrocca) November 25, 2019

• Si tu web o blog está localizado  en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o
• Si tu web o blog está fuera de la UE  pero ofrece productos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.

Sanciones RGPD páginas webs

Créeme que no son pocas, en España y en Europa, las autoridades de control están incrementando el número de procedimientos a responsables de páginas webs. En esta web, tienes un recopilatorio de todas las sanciones que se están aplicando.

Puedes ver un extracto de rastreador de sanciones:

Sanciones por instalar cookies

Las cookies son un factor clave en el cumplimiento y sí pueden sancionarte si tu web no cumple con lo establecido.

Ejemplo de ello es la multa a Vueling con 30.000 euros por obligar a los usuarios a aceptar las cookies de su web y no cumplir con las exigencias en materia de información y consentimiento que  explico en este post.

Infracciones muy graves que puede cometer una web

Entre las infracciones MUY GRAVES por las que pondrían sancionar a un blog están las siguientes (he omitido las que no afectan a los tratamientos realizados en una web)

• El tratamiento de datos personales vulnerando los principios y garantías establecidos por el RGPD, por tanto, si nos los conoces, es posible que te los saltes, por ejemplo, el ejercicio de derechos, si no tienes un procedimiento para el ejercicio y modelos de respuestas, tendrás muchas posibilidades de entrar en modo infractor. Aquí todas las obligaciones para cumplir con el RGPD en tu web
• El tratamiento de datos personales de forma ilícita: como compra de leads, falta de consentimiento válido al enviar tus boletines, etc.
•  El incumplimiento de los requisitos para la validez del consentimiento; es decir, que sea informado, previo, inequívoco, específico, verificable y obtenido mediante una acción afirmativa, en un blog, el tener formularios sin check box y sin informar, ya te pone en posición infractora y con riesgo alto de sanción. En este post te explico cómo adaptar tus formularios al RGPD.
• La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos: por ejemplo, que utilices los datos de suscriptores para enviarles ofertas comerciales si no has pedido permiso para esa finalidad previamente o para enviarles boletines de un colaborador, también sin el correspondiente consentimiento.
• El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos de los afectados. Esto es algo bastante común y una de las prácticas más torpes y peligrosas que puede cometer una web no permitir la baja automática de los suscriptores de una lista. Sera un claro ejemplo de obstaculización de derechos de los afectados.
• No facilitar el acceso de la autoridad de control de protección de datos para el ejercicio de sus poderes de investigación, básicamente, obstaculizar la investigación de la AEPD.

Infracciones graves en una web

Entre las infracciones graves en las que puede incurrir una web se encuentran las siguientes:

• El tratamiento de datos personales de un menor de edad sin recabar el consentimiento adecuado: cuidado con no advertir sobre menores de edad en tu política de privacidad y si tu web se dirige a menores, asegurarte de que cuentas con el consentimiento de sus padres o tutores legales.

Es el caso del procedimiento contra la escuela de Danza en dónde quedó acreditado que  ”. No hay referencia alguna a los padres, ni a los menores de 14 años, ni la retirada delconsentimiento o el periodo de conservación de las imágenes»

• El impedimento o la obstaculización o la no atención reiterada de los derechos de los   afectados: por es tan necesario que tengas un mecanismo para permitir el ejercicio de derecho y procedimientos claros de respuesta en cada caso.
• La falta de adopción de aquellas medidas técnicas y organizativas que resulten   apropiadas para aplicar de forma efectiva los principios de protección de datos: recuerda que no vale con poner unos textos legales en tu web, además, necesitas incorporar medidas de seguridad que garantices la integridad, disponibilidad y confidencialidad de la información que trates en tu blog, empezando por tener un certificado https..
• La falta de adopción de las medidas técnicas y organizativas apropiadas para   garantizar que, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento: Esto significa que no puedes hacer un batiburrillo con tus bases de datos ni un  totum revolutum, tus bases de datos deben estar actualizadas, depuradas y ser utilizadas con la finalidad con la que has recogido esos datos, es decir, no puedes incluir a tus clientes en tu lista de suscriptores ni meter a suscriptores en listados de afiliados por ejemplo.
• La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas: un hosting, un web máster, una herramienta de email marketing, si no cumplen y los contratas, entras en modo infractor.
• Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato de acuerdo con el artículo 28.3 del Reglamento (UE) 2016/679: es decir, debes tener contratos de encargo firmados con cada uno de tus colaboradores o prestadores de servicios.

Infracciones leves en una web

Finalmente, tenemos las infracciones leves, que no evitarán un disgusto mayúsculo.

• El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida : que no tengas políticas de privacidad claras, cláusulas específicas en tus formularios, es un motivo de sanción, lo mismo que tenerlas incompletas o mal redactadas, por eso el copy paste no es una buena idea.

Este principio ha sido motivo de numerosas denuncias, como la de la escuela de danza y que la Agencia en su procedimiento refleja de esta manera:

..» En el apartado de protección de datos de carácter personal vuelve a referir la LOPD, y su Reglamento de desarrollo, ya no vigentes desde la aprobación de la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD). 

y en del centro escolar:

«Se ha constatado que el sitio web carece de Aviso Legal, Política de Privacidad y de casilla de aceptación de esta política en el formulario de contacto donde se recogen datos de carácter personal. No se sabe, por tanto, el tratamiento que se dará a los datos recogidos»

•  Disponer de un Registro de actividades de tratamiento que no incorpore toda la  información exigida por el RGPD: debes considerar la necesidad de tener un registro actualizado y personalizado, si sólo tienes un blog, con el programa Facilita de la AEPD podrás subsanar este requisito.

¿Qué factores determinan el importe de la sanción RGPD a una web?

En el caso del RGPD, en su artículo 83, se establece que las sanciones serán “individuales, efectivas, proporcionadas y disuasorias”

¿Esto que significa?

Que las sanciones dependerán de las circunstancias de cada caso, y la decisión y cuantía de estas serán impuestas en relación a:

• La naturaleza, gravedad y duración de la infracción;
• Intencionalidad o negligencia en la infracción;
• Medidas tomadas por el responsable o encargado del tratamiento para paliar los daños.

y también

• Del grado de responsabilidad del responsable o del encargado del tratamiento, es decir, no es lo mismo que cometas la infracción tu a que la comenta tu encargado de tratamiento y viceversa.
• De las infracciones anteriores: si eres reincidente, la cosa se complica
• De la cooperación con la autoridad de control, mejor que seas colaborativo
• De las categorías de datos afectados por la infracción: no es lo mismo si se trata de datos sensibles o especialmente protegidos o de datos básicos.
• La forma en que la autoridad de control tuvo conocimiento de la infracción: si eres proactivo en asumir la responsabilidad, mucho mejor.

Por otra parte, la LOPDGDD 3/2018 añade otras cuestiones que pueden determinar el costo de la sanción, aumentarlo o disminuirlo:

• El carácter continuado de la infracción: no es lo mismo un fallo puntual que un fallo continuado que vulnere derechos de las personas cuyos datos estén tratando.
• La vinculación de la actividad del infractor con la realización de tratamientos de datos personales;
• Los beneficios obtenidos como consecuencia de la comisión de la infracción, como en el caso del periódico que publicó los datos de la víctima de la manada
• La afectación a los derechos de los menores;
• Disponer, cuando no fuere obligatorio, de un delegado de protección de datos (esto reduciría el coste de la sanción)
• El sometimiento por parte del responsable o encargado, con carácter voluntario, a  mecanismos de resolución alternativa de conflictos.

El  «modus operandi» de la AEPD

La AEPD recibe la denuncia a través de su canal de denuncias. Para el usuario o persona que realiza la denuncia debe:

1. Rellenar el formulario.
2. Una vez cumplimentada la solicitud, debe firmarla y enviarla.
3. Imprimir, firmar y presentar el documento de solicitud ante la Agencia Española de Protección de Datos en C/Jorge Juan nº6, 28001 Madrid o en cualquier oficina de asistencia en materia de registros, en las oficinas de correos o en las representaciones diplomáticas y oficinas consulares de España, si te encuentras en el extranjero. En este enlace encontrarás un buscador de oficinas donde puedes acudir.

Se pueden adjuntar capturas o documentos que demuestren que esa web incumple y adjuntar a la solicitud. La AEPD revisa la denuncia, verifica, puede pedir al responsable de la web que responda o acredite lo que que proceda, y darle un plazo para esa respuesta, transcurrido este, la AEPD establece su veredicto y resuelve sobre la reclamación.

¿Siempre me van a sancionar aunque sólo tenga un blog?

El RGPD prevé la posibilidad de que la sanción económica sea sustituida por un apercibimiento, para que el infractor adopte las medidas correctoras que se le indiquen. Pero esta medida es excepcional y se da en pocas ocasiones.

¿Por cuánto me pueden sancionar si sólo trato datos en un blog?

Según el RGPD, las sanciones pueden llegar hasta los 20 millones de euros o el 4% del volumen de negocio global anual del ejercicio financiero anterior de la compañía infractora, pero si tienes un blog, es evidente que las multas serán proporcionadas.

En caso de que tu blog sea denunciado ante la AEPD, esta puede:

• Recabar la información precisa para el cumplimiento de sus funciones
• Realizar inspecciones
• Solicitar la exhibición o el envío de documentos o datos necesarios
• Examinarlos, obtener copia e inspeccionar los equipos
• Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación

Algunas sanciones  de la AEPD a webs y apps

• 1500€ a una cerrajería Española por una deficiente política de privacidad. La compañía recopiló datos personales sin proporcionar información precisa sobre sus actividades de procesamiento de datos en su política de privacidad publicada en su sitio web.
• Apercibimiento página web de colegio por no existir ningún tipo de banner o link a la “política de privacidad” de la institución, donde se informe qué tratamiento hace de los datos personales que recaba a través de los formularios.
• Apercibimiento a una escuela de Danza por publicar imágenes de menores en su fan page. La circunstancia de incluir de modo obligatorio para los padres/alumnos en el impreso de matrícula la cesión de la imagen para los fines que se contienen o la del envíopublicitario no se ajustan al RGPD ni a la base legitimadora del consentimiento, al incluirse y
  mezclarse con la base legitimadora contractual y debiendo aceptar esta. Es decir, se tiene que dar la aceptación al bloque, por lo que no puede considerarse consentimiento como
  manifestación de voluntad libre.
• Procedimiento sancionador  a una página web por no poseer política de privacidad ni se especifica el tratamiento de los datos recogidos en el formulario de contacto.
• Está la sanción a “La Liga”, por importe de 250.000 euros, por una app de partidos de fútbol que usan millones de usuarios, que usa el micrófono del móvil del particular para luchar contra la piratería del fútbol; una suerte de app “espía».
• También está la multa a Vueling con 30.000 euros por obligar a los usuarios a aceptar las cookies de su web, si no quieres que te pase algo parecido, mejor lee este post
• Sanción de 15 mil  de la autoridad Belga en relación al deber de informar en una política de privacidad. El operador de un sitio web para noticias legales tenía la declaración de privacidad solo disponible en inglés, aunque también estaba dirigida a un público de habla holandesa y francesa. Además, la primera versión de la declaración de privacidad no era fácilmente accesible y no mencionaba la base legal para el procesamiento de datos bajo el RGPD. Además, con referencia a la decisión del TJCE , se determinó que se requería un consentimiento efectivo para el uso de Google Analytics. https://lnkd.in/gY75z6J 

y muchas más que puedes consultar aquí

Ejemplos de páginas webs que sí cumplen

Ya tengas una web de nichos, una membresía, una página de servicios o un e-commerce, tu web debe estar bien adaptada.

Te paso algunos ejemplos de páginas de diferentes tipos, que lo tienen todo feten a nivel cumplimiento:

1. 1. https://bicicleta.studio/
   2. https://www.formuladelanzamiento.com/fl-lista-espera
   3. https://abelmolinabogado.com/
   4. https://www.maquinaafeitar.com/
   5. https://academiadeorgano.com/
   6. lesbosfera.com
   7. https://alienkush.es/
   8. https://www.haciaelautoempleo.com/
   9. arturogarcia.com
   10. https://nudistainvestor.com/

Conclusión: ¿merece la pena tener un blog al margen de la legalidad?

El valor que tiene la privacidad y el derecho de las personas a tener el control sobre su propia información deberían constituir una ventaja competitiva para tu blog y un requisito indispensable que no todos los Bloggers acaban de comprender.

En este post explicó con detalle porqué es tan importante la legalidad en un blog, vendas o no.

Trampas y mentiras de vender en Internet :

👉No importa el tamaño
👉 No importa la cantidad de visitas
👉No importa si monetizas o no

Tu web debe estar adaptada al #RGPD y resto de regulaciones.

Te lo cuento aquí:
👇https://t.co/aSG40uQjtC

— Marina Brocca (@marinabrocca) November 24, 2019

Pero lo cierto que el no cumplir también pone a tu blog en zona de riesgo y puede ser sancionado y son muchos los motivos por los que pueden sancionarte como habrás podido comprobar en este post.

Estas leyes también marcan las fronteras entre los blogs legales y los ilegales.

¿De que lado quieres que esté tu blog?

¿Cómo puedes adaptar tu blog para evitar sanciones RGPD en tu blog?

Tienes suerte si has llegado hasta aquí porque he desarrollado soluciones muy específicas,reales y eficaces para adaptar tu blog a estas regulaciones y evitar sanciones.

Modelos de cláusulas informativas

Ya tienes una solución perfecta,

¿Necesitas plantillas para adaptar tu web, blog  o e-commerce? no te vayas, elige el Kit que mejor se adapte a tu web y hazte 100%legal.