O cómo sobrevivir al nuevo reglamento UE si tienes una web o blog
El nuevo reglamento en materia de protección de datos supone un punto de inflexión para todos los que tenemos un blog o una web. No ha sido fácil conseguir un título que te invitara a leerlo, porque créeme: necesitas leerlo.
Mira si era complicado que tuve que pedir auxilio a dos almas generosas y talentosas, Ana Mata y Gastre gracias a los cuales tengo dos titulares irresistibles que estoy segura, te vas a lanzar a leer.
Si tienes una web o un blog, es muy posible que todavía no te hayas enterado de tu presencia digital está regulada por las algunas leyes de obligado cumplimiento, como son la LOPD y la LSSI, si te acabas de caer de la parra, antes de leer este post, es mejor que empieces por saber cuáles son los requisitos legales para una web o un blog.
El caso es que el 14 de abril del 2016, se aprobó el nuevo reglamento de protección de datos Europeo que te va afectar de lleno y por eso quiero que conozcas las principales exigencias y cómo puede salvarlas en tu blog o web para que no te pille el toro.
¿Porqué deberías ocuparte?
Hay una razón muy sencilla: Quedarte al margen es un suicidio digital.
Sé que suena muy fuerte pero el anarquismo bloggero tiene sus días contados. Este reglamento nace con el objetivo de fortalecer la economía digital y para ello, se debe acabar con cualquier portal que no ofrezca garantías suficientes.
Este nuevo reglamento refuerza los derechos de las personas que se relacionan con tu web o blog y las obligaciones de quienes tratan y determinen el tratamiento de los datos personales.
Ya no tienes excusas para quedarte al margen de la legalidad, hacerlo, será como tirar bombas racimo sobre tu propia web.
La finalidad de un nuevo reglamento de la UE
Este reglamento surge con la intención de unificar los criterios en torno a la protección de datos de todos los países que componen la Unión Europea.
Se trata de un mercado único digital Europeo.
Hasta ahora, cada uno tenía su propia regulación, como la LOPD en el caso de España. La entrada en vigor del nuevo reglamento nos va a obligar a reajustarnos en algunos puntos básicos que ahora te explicaré.
Cómo te explicaba al inicio de este post, con este Reglamento se pretende otorgar mas poder y control a los usuarios sobre sus propios datos personales de forma que puedan decidir en todo momento qué información quieren compartir , con quien y con qué finalidad.
Otro objetivo básico es el generar entornos de confianza que permita a la economía digital desarrollarse en todo el mercado interior europeo, algo de lo que he hablado hasta la saciedad: los elementos legales son los que permiten diferenciar un espacio seguro de un top manta digital. Un motivo de peso para no quedarte al margen.
En resumen:se trata de empoderar a los ciudadanos para a que asuman mayor control sobre la información personal que les concierne y eso va a repercutir necesariamente en todos los que captamos, gestionamos y almacenamos datos personales de otros.
Estos «nuevos poderes» que le otorga el reglamento de la UE a los ciudadanos se traducen en 5 derechos básicos que tu deberás garantizar:
- La necesidad de un consentimiento específico de la persona respecto del tratamiento de sus datos personales.
- El derecho a la información completa sobre el uso de su propia información personal.
- Acceso más fácil del interesado a sus datos personales.
- El derecho al olvido y al de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles.
- El derecho a la portabilidad de los datos de un prestador de servicios a otro.
5 exigencias que tendrás que conocer y aplicar en tu blog o web
El nuevo reglamento de la UE será de obligado cumplimiento en un par de años, así que es mejor que te vayas familiarizando y aplicando las nuevas exigencias en tu estrategia.
Nace un nuevo reglamento que pone el foco en el usuario para que sea este quien tenga en última instancia el control de su información, y que plantea en esta reforma varios puntos la mar de interesantes:
#1: Responsabilidad proactiva
El nuevo reglamento EU hace especial hincapié en la prevención en detrimento de la respuesta reactiva, te pide que te ocupes de tomar la iniciativa en la defensa de la privacidad en lugar de reaccionar cuando ya se ha producido una brecha.
Por tanto, deberás adoptar medidas para demostrar que estás cumpliendo con el Reglamento y aportar la carga de la prueba. Esto da lugar a un capítulo entero de medidas y obligaciones prácticas, que será la parte que más contribuya a proteger los datos.
¿Qué tendrás que hacer concretamente?
- Tener actualizas tus políticas de privacidad, procedimientos y documentación en orden : las autoridades de protección de datos podrán requerirlas en cualquier momento.
- Tendrás que informar a los interesados del tratamiento de sus datos de manera clara, accesible y transparente. Para eso deberás revisar y actualizar todas tus cláusulas informativas. Debes informar: Qué datos recoges, cómo van a ser tratados, para qué fines, si son cedidos a terceros, etc. Esto elimina el copia y pega de textos legales ya que se exige mucha más precisión.
- Tus mecanismos informativos deben ser «transparentes y de fácil acceso» (nada de textos diminutos y políticas ocultas)
- Tendrás que asegurarte que los datos personales que requieres son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Deberás poner en marcha un proceso de notificación de incumplimiento (brechas) y mejorar tus procesos de gestión de incidencias y tus capacidades de detección y respuesta. Cualquier violación de los datos deberá ser notificada a la autoridad correspondiente de protección de datos, incluso si las medidas de protección, como el cifrado, están en su lugar; o la probabilidad de daño es bajo. También deberás disponer de un procedimiento para notificar a tus usuarios/clientes si se ha producido una brecha: Los usuarios tendrán el derecho de ser informados cuando sus datos estén en peligro, pudiendo estos eliminarlos o portarlos a otro servicio si este no nos ofrece unas garantías mínimas.
#2 Consentimiento explícito si quieres que sea válido
Aquí es donde tendrás que ponerte las pilas porque será la forma más sencilla de exponerte a una sanción como no lo hagas bien. También es la mejor manera de acreditar cumplimiento si lo haces correctamente.
Ten en cuenta que el consentimiento en cualquier estrategia online, es la forma más robusta de legitimación de la voluntad del usuario.
Actualmente son legales los consentimientos tácitos para datos básicos; como poner un pequeño texto debajo de los formularios de contacto o suscripción que pongan “acepto la política de privacidad” o darlo por supuesto por el solo hecho de suscribirse voluntariamente.
Con el nuevo reglamento la cosa cambia y mucho.
A partir de ahora, el consentimiento no podrá entenderse como concedido implícitamente, así que es mejor que te pongas a revisar todos tus formularios de contacto y saber si cumplen con estas condiciones:
- No puede deducirse del silencio o de la inacción de las personas.
- No puede ser genérico: es preciso que la declaración u acción se refieran explícitamente al consentimiento y a una finalidad concreta.
- Debe ser verificable: deberás ser capaz de acreditar el consentimiento y por esta razón es imprescindible que los mecanismos informativos y de requerimiento sean adecuados.
- Caducidad: El consentimiento expirará tan pronto como el tratamiento de los datos personales deje de ser necesario para alcanzar el fin para el que fueron recogidos.
Aquí cobra especial relevancia el principio de transparencia, ya que se refuerza drásticamente la información que se debe facilitar a los titulares de los datos, tanto en el supuesto de que los datos se recaben directamente del interesado como si los datos se obtienen de otra fuente.
En este punto es donde debes realizar los mayores esfuerzos, adecuando tus cláusulas de información en todos los elementos de captura que utilices, informando especialmente en materia de conservación de datos y transferencias internacionales, debiendo ser muy cuidadoso en la forma de facilitar la información de manera que siempre puedas acreditar con posterioridad que la misma ha sido facilitada.
¿Cómo puedes solucionarlo?
- Deberás revisar si los formularios de tu web o blog permiten obtener el de consentimiento de forma adecuada comprobando que este consentimiento sea libre, específico, informado y expreso.
- Deberás reforzar todas tus cláusulas informativas y tener más precisión al redactarlas.
- Deberás asegurarte que tu procedimiento de requerimiento de consentimiento permita que puedas acreditarlo debidamente con posterioridad.
- Deberás comprobar que ese consentimiento sigue vigente y que sigues utilizando los datos con la misma finalidad con la que fue obtenida.
- Si utilizas datos personales para marketing directo, será necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento. y si realizas elaboración de perfiles, es mejor que te asegures de requerir un consentimiento específico para esta finalidad concreta como o explico en este post.
Este tipo de formularios de captación deben desaparecer y ser sustituidos por otros que permitan acreditar el consentimiento del usuario.
#3 Prepararte para garantizar los nuevos derechos
Deberás saber cómo responder adecuadamente a los nuevos derechos de todas las personas que se relacionan con tu web, para ello, deberás contar con una estrategia que incluya procedimientos para :
- La recogida de datos personales.
- La clasificación o segmentación de datos.
- La elaboración de perfiles (y el necesario consentimiento)
- La destrucción y el derecho al olvido.
- La portabilidad : se trata de facilitar el traspaso de datos de una empresa a otra sin tener que facilitarlos nuevamente, empaquetarlo en un archivo que pudiera ser trasladado a otro servicio. Hablamos por tanto de una estandarización del tratamiento de los datos de clientes.
- La minimización de los datos (requerir solo datos estrictamente necesarios para la finalidad)
Hoy solo te los nombro a titulo informativo, ya los desarrollaré oportunamente.
Esta estrategia debe cubrir todos los mecanismos por los que se recogen los datos, incluyendo internet y papel.
Por otra parte, se suprime la obligación de notificar ficheros en la Agencia Española de Protección de datos, algo en lo que no estoy muy de acuerdo, aunque se justifique argumentando que se pretende suprimir la carga burocrática.
#4.Indemnizaciones y sanciones
Cuidadín cuidadín con este punto.
El Reglamento reconoce el derecho de los interesados a presentar una reclamación a la autoridad de control, así como su derecho al recurso judicial, la compensación y la responsabilidad.
Básicamente, el nuevo reglamento prevé el derecho a indemnización y responsabilidad de cualquier responsable que haya participado en la acción que haya causado el daño a la intimidad de un ciudadano, algo que no estaba contemplado en la actual LOPD y que puede suponerte muchos dolores de cabeza si alguien te requiere una compensación económica.
También se contemplan sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos. Los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual.
Las autoridades de protección de datos nacionales serán las que impongan estas sanciones administrativas.
#5 Acuerdos con terceros
Si gestionas datos personales por encargo de otras empresas o profesionales, debes asumir que tus servicios son compatibles con las mayores exigencias de esta regulación, ya sea en relación con la minimización de los datos, lo que ayuda a cumplir con el derecho a ser olvidado o reportar una violación de la seguridad de datos.
Recuerda que dentro de la responsabilidad proactiva debes demostrar que todas las empresas o profesionales con quienes compartes datos cumplen con las mismas exigencias y pautas de tratamiento de la información personal.
¿Como puedes solucionarlo?
Yo te recomiendo que revises si dispones de contratos adecuados con terceros, tanto si actúas como responsable o encargado de tratamiento.Esos contratos deben incluir un clausurado acorde a las exigencias del nuevo reglamento y serán tu mejor salvaguarda a la hora de acreditar diligencia.
Conclusión: el fin de la era del top manta
Hasta ahora, los profesionales del mundo digital en general han actuado con bastante desidia respecto a su responsabilidad con la información personal de otros que pasan por sus manos . Que otros te cedan datos personales no significa que te conviertas en dueño de esa información, tan solo eres un gestor temporal de la misma.
Es posible que a ti también te hayan inoculado la creencia de la anarquía bloggera, en donde no existen derechos ni obligaciones.
Mi convicción es que quienes sigan anclados en esa creencia tienen los días contados.
Evolucionar en la gestión de un blog o una web es es evolucionar en las garantías que somos capaces de ofrecer a todos los que nos facilitan sus datos (usuarios, suscriptores, clientes, colaboradores, etc)
El nuevo reglamento Europeo te plantea el «reto al respeto» :
- ¿Respetas los datos personales de otros?
- ¿Eres leal, transparente y honesto al requerirlos?
- ¿Los proteges adecuadamente?
Cómo profesional digital, no puedes quedarte al margen de este reto, nuestro futuro depende de la gestión de la confianza y sin respeto, no hay confianza.
¿Ya has empezado a adecuar tu web o blog a estos nuevos requisitos?
Te lo pondré muy fácil:
15 comentarios
Estupendo post Marina y mira que yo soy piratilla para muchas cosas, pero me alegro de este nuevo reglamento!!
Yo sí respeto a los usuarios, por tu culpa básicamente, que me has dado caña y me has hecho ver la importancia que tiene. De hecho, en el post que he publicado hoy, comparando el proceso de incorporación de usuario de Kayak y Expedia, te menciono y hablo de la falta de respeto al usuario que tiene Expedia, que visto lo visto, deberán cambiarlo.
Se supone que esto entra ya en vigor no? No hay nada que me de más rabia, que los formularios que vienen ya predefinidos para enviarte emails, cuando a lo mejor lo único que quieres hacer es una consulta, así que me alegro de poner fin al top manta!!
Genial post, como siempre ;D
Hola coleguí!! siempre es motivo de festejo cuando te pasas por aquí. Lo de este nuevo reglamento puede ser una buena oportunidad para separar la paja del trigo, no habrá otra elección. Respecto a lo que comentas en tu post de marras (gracias por la mención) lo cierto es que desde años, muchas páginas web conviven con la falsa convicción que no existe ningún tipo de obligación legal, ningún tipo de compromiso, ninguna regulación que cumplir, que pueden utilizar los datos de los usuarios a discreción.
En definitiva, que existe ninguna responsabilidad,a pesar de que algunos administran miles de datos personales de usuarios y suscriptores y que otros venden sus propios productos. Afortunadamente hay profesionales como tu que empiezan a señalarle el rumbo a otros y en tu caso con más razón , tienes los textos legales mas divertidos y chulos del panorama blogueril.
Un fuerte abrazo Ana!
La verdad que te leo y me acojono jaja.
Claro, y luego miras esto y …….
https://goo.gl/dQeXMa
Si es que de verdad!!
A mi no se me pasa por la mente realizar esas acciones (sale un amiguete tuyo que le tienes mucho cariño de los primeros jiji).
Pero el tema está ahí, más que empezar por hacer daño al debil, las organizaciones deberían de comenzar por ir a por los grandes.
Pero ya se sabe, cuesta menos quitar 5 euros a un millón de personas que un millón de euros a 5 personas, así que por si las moscas….
CUMPLAMOS LAS EXIGENCIAS.
Un abrazo Marina!
Hola Gastre!!
El objetivo no era acojonar a nadie, que conste, que soy alguien muy tierno. Respecto al enlace que mandas, es así, y lo es desde hace demasiado. También tienes a los que escriben post enseñando a vender a leads y otras lindezas del estilo. Luego nos quejamos porque existen las leyes, lo mismo no harían falta si no fueran tantos los que torpedean a los usuarios.
En cualquier caso, las sanciones más cuantiosas las han pagado las grandes. Mira la última:
https://www.samuelparra.com/2016/09/19/movistar-sancionada-por-utilizar-supercookies-en-todos-sus-clientes/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+SamuelParra+%28Samuel+Parra%29
Un fuerte abrazo Gastre !
Gran Post Marina es de especial valor lo que comentas en el post ya que la legalidad y el entendimiento de la misma necesita de un lenguaje explícito para comprenderlo, gracias por aclarar y a la vez ser una buena traductora legal.
Muchas Juan y bienvenido a mi casa, siempre es un alegrón cuando alguien se acerca a comentar y a participar de un debate.
Espero verte pronto por aquí.
Excelente texto Marina, felicidades y muchas gracias. Me queda una duda solamente: qué alternativa tiene entonces quienes tienen un espacio más bien personal o quienes van comenzando y no cuentan con los recursos para tener un equipo legal detrás del blog. He leído tu aviso legal, y tus dos apartados de políticas y evidentemente personalizar estos apartados sería un poco complicado para quien no tiene una idea clara de lo que dice la ley o bien no se siente cómodo en el lenguaje jurídico. También he visitado la página del R.G.P.D. y lo de registrar un fichero es cualquier cosa menos intuitivo y sencillo.
¿Habría algún texto base que cubra los requisitos mínimos y que se pueda usar de modelo? ¿Alguna herramienta adicional que sea conveniente tener? Gracias desde ahora por tus comentarios. 🙂
Hola Carlos, muchísimas gracias por pasarte por aquí y animarte a tertuliar.
Respecto a lo que comentas, estoy completamente de acuerdo con lo que comentas y de ser sencillo y fácil, yo me moriría de hambre. Mi trabajo consiste justamente en ayudar a mis clientes a tener políticas accesibles y comprensibles pero esto supone, un trabajo de conocimiento previo muy profundo y mucha comunicación con cada uno de ellos para definir una política que se adapte a ellos como un guante.
Respecto a la inscripción de los ficheros, vuelvo a estar de acuerdo, me peleo cada día con esa web y no lo han hecho nada sencillo para simplificar el registro, es casi un laberinto, por eso también forma parte de mis servicios.
No conozco plantillas que pueda recomendarte y decirte que serán 100% fiables porque cómo te explicaba, cada web necesita un traje legal a medida de sus funcionalidades y características.
Un fuerte abrazo
Hola Marina, me gustaría saber de donde deduces que ya no es obligatorio inscribir ficheros, ¿ Te basas en el artículo 30 del Reglamento Europeo?
Gracias y un saludo
Hola Andrés,
En realidad la deducción vienen dada por la omisión, es decir: en el nuevo Reglamento europeo no señala nada explícitamente sobre la inscripción de ficheros y tratamientos ante la autoridad de control, por lo que todos los analistas incluida yo, entendemos que esta inscripción tiende a desaparecer y, en su lugar, aparece una función de documentación que obliga a los responsables de ficheros y/o tratamientos a llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad con una exhaustiva información. Justamente, en el artículo 30 se habla de la obligación de mantener un registro «INTERNO» de los ficheros de datos tratados, (NO SE ESPECIFICA EN NINGÚN CASO QUE HAYA QUE NOTIFICAR LOS FICHEROS). También se explica que estas obligaciones no se aplicarían a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales, etc.
Un fuerte abrazo
Buenos días.
Ante todo felicitarte por tu artículo. Es muy bueno y explicas los temas de una forma muy fácil de entender para personas con pocos conocimientos legales.
Queda muy claras las obligaciones que toda Web debe cumplir, aunque, bajo mi punto de vista, no varían mucho de las que ya teníamos con la LOPD y la LSSICE.
Sin embargo me sigue quedando la duda de las famosas cookies de terceros y (por lo menos hasta la fecha) la utilización de servicios de empresas con ubicación fuera de la UE (plataforma WordPress, Mail Chimp para mensajería, Google Analitycs, etc.)
Desconocemos los datos que realmente recogen, sus usos y finalidades y sus servidores, están fuera de la UE.
¿Sobre todo esto, el propietario de la Web, blog o mensajería, no tiene responsabilidad?
Gracias.
Hola Carlos,
Muchísimas gracias por tu valoración de mi post. Respecto al tema de cookies, no tengo muy clara cual va ser el posicionamiento de la unión europea, no obstante, las cookies que comentas deberán estar siempre advertidas por ser de terceros y permitir un enlace a sus correspondientes políticas de cookies. El críterio no crea que difiera mucho del actual, basado en la advertencia y el consentimiento. En especial, si se utilizan cookies para crear perfiles y comercialización aparecer claramente advertidos tal como señalo en mi post en la parte de segmentación y creación de perfiles.
Luego habría que crear un enlace a una divulgación más amplia (segunda capara), con las indicaciones sobre el uso de las cookies enviadas desde el sitio, donde tiene la opción de instalarlos directamente o mediante la conexión a varios sitios en el caso de las cookies de terceros como las que señalas.
En cualquier caso, habrá que esperar a que se empiece a pronunciar la propia agencia de protección de datos.
Un fuerte abrazo
Marina
Muy importante tener en cuenta estos datos para cumplir con la normativa. Gracias por los consejos. Es fundamental.
Muchísimas gracias Marta,
Un abrazo