«Si tienes un negocio que trate datos personales de clientes, proveedores, empleados, etc, o sólo un blog que recabe datos de suscriptores y usuarios, debes conocer de sobra las siglas “RGPD”, si no te suenan de nada o no has hecho nada relacionado con ellas, Houston, tenemos un problema.
En mayo del 2018 finalizó el plazo para que profesionales y empresas se adaptaran al RGPD, es decir, el Reglamento Europeo de Protección de datos.
Esta adaptación no es algo opcional, no es solo un trámite para tocarnos las narices, se trata fundamentalmente, de asumir un cambio de paradigmas respecto al tratamiento de la información personal y de un factor clave de competitividad y supervivencia.
Lo sabes tan bien como yo, durante mucho tiempo, empresas y profesionales trataron las bases de datos como si se tratara de cromos que había que acumular, que se podían intercambiar y fundamentalmente, como si esos datos fueran de su propiedad y pudieran disponer de ellos como más les interesara.
Una vez cogido un lead, y desde esta concepción de la propiedad del dato, este se usaba indistintamente para mandar un boletín, para realizar venta directa, para cruzar con otras bases de datos, para intercambiarlo por otros leads, para segmentar, por nombrar algunas.
Todos lo sufrimos y estoy segura que tu también ¿cuántos correos recibes de gente que no conoces y que no sabes cómo han obtenido tus datos? ¿cuántas llamadas comerciales?
EL FIN DEL TODO VALE: NUEVAS LEYES PARA NUEVOS TIEMPOS
Desde el punto de vista legal, la era del todo vale en el tratamiento de la información de los demás tocó a su fin hace tiempo con la LOPD (Ley Orgánica de Protección de Datos) pero no fue hasta la aparición del RGPD que muchos se enteraron que había que cumplir con una serie de normas para poder tratar la información de otras personas.
El RGPD llegó como un ciclón, todos recibimos avalanchas de correos con información sobre esta normativa europea y todos los que tenemos una web o un blog, supimos que teníamos que ponernos las pilas y hacer cambios si no queríamos delatarnos como infractores, pero curiosamente, medio año después, muchos profesionales y empresas siguen sin cumplir con el RGPD y los que tienen un blog o una web, tienen más delito, porque a estas alturas, las diferencias entre un blog cumplidor y uno infractor son totalmente evidentes para cualquier usuario.
Pese a lo evidente y notorio que resulta ese incumplimiento nada más entrar en una web, me sigo sorprendiendo encontrando webs y blogs que siguen al margen del RGPD, así que vamos a repasar algunos conceptos por si sigues creyendo que el RGPD no va contigo.
¿CUÁNDO Y DÓNDE DEBERÍAS CUMPLIR EL RGPD SI TIENES UN BLOG?
Deberías cumplir con el RGPD en el momento en que se tratan datos personales de otros, es decir, desde el momento en que tengas un sistema de captura de datos de personales como:
- Formulario de suscripción
- Formulario de contacto
- Formulario de venta
- Formulario de comentarios
- Formulario de registro
- Esquema de afiliados
- Cookies de analytics , publicitarias, retargeting.
¿QUIENES DEBERÍAN CUMPLIR?
Empresas o profesionales que traten datos personales de ciudadanos europeos, dentro o fuera de la unión europea, por tanto, si tienes una empresa en Bogotá o en Etiopía, desde el momento en que recopilas datos de ciudadanos europeos, debes cumplir con las disposiciones del RGPD.
No importa tampoco tu condición fiscal, si estás dado de alta como autónomo o no, si tratas datos personales de otros, estás obligado a respetar sus derechos, esto no es un tema simplemente legal, es un tema de principios y de responsabilidad.
La gente que te confía su información, espera que trates sus datos de forma que no vulnere sus derechos y por tanto, no puedes recabar ni tratar datos de otros si no conoces y respetas esos derechos . Puro sentido común ¿No?
EL FIN DE LOS FICHEROS Y EL PARIPÉ DE CUMPLIMIENTO
No son pocos los que siguen identificando el cumplimiento en materia de protección de datos con dar de alta unos ficheros, raro es el día que no reciba un mail con un “quiero un presupuesto para inscribir los ficheros”
Lo de dar de alta los ficheros pasó a la historia con el RGPD que fulminó este requisito. Era un requisito puramente formal que a efectos prácticos no resolvía nada. El RGPD es mucho más práctico y suprime toda burocracia injustificada.
Se centra en lo que de verdad importa: la gestión segura y responsable de la información.
También se acabó la era del todo vale y la era del paripé.
No sirve de nada declarar ficheros si no eres transparente informando a aquellos a quienes les recopilas datos, sobre tu identidad, la finalidad con la que vas a tratar sus datos, de la identidad de aquellos con los que piensas compartir esos datos, de los derechos que asisten a estas personas sobre su propia información, etc.
Tampoco sirve de nada si no cuentas con el consentimiento o con una base legal adecuada para tratar sus datos o no cuentas con las medidas de seguridad necesarias para garantizar la integridad, la confidencialidad y la disponibilidad de esa información.
LAS EVIDENCIAS QUE DELATAN A UNA WEB COMO INFRACTORA
Si no quieres que tus usuarios te perciban como infractor, no les des pistas que te pongan en evidencia.
Básicamente, el RGPD plantea la necesidad de relacionarnos con la información de otros de una forma responsable, transparente, respetuosa y consciente, por tanto, todo tu negocio y toda tu estrategia estarán comprometidas si a fecha de hoy, estás cometiendo alguno de estos errores:
No estás informando adecuadamente
Las personas tenemos derecho a conocer todo lo que afecta al tratamiento de nuestros datos y desde esta perspectiva, no es lícito el tratamiento que no informe con máxima transparencia sobre todos los aspectos vinculados a ese tratamiento.
Para facilitar esta transparencia y claridad informativa, se recomienda adoptar un modelo de información por capas o niveles de tal manera que se presente al usuario, una información básica reducida y una información adicional más detallada.
Estamos acostumbrados a políticas opacas e incomprensibles, a jerga farragosa, a prácticas torticeras para obtener nuestros datos y eso ya no es posible con el RGPD.
No es lícito que nos requieran datos sin decirnos quién es el responsable de tratar nuestros datos y con qué finalidad piensa hacerlo. Tenemos derechos sobre nuestros datos, como acceder, rectificar, limitar el tratamiento, etc y no podemos ejercerlos sino sabemos ante quien debemos hacerlo.
El derecho a la transparencia informativa, implica ofrecer a usuarios y clientes información completa y clara sobre el uso de su información personal, desechando fórmulas legales farragosas e incomprensibles para el ciudadano medio.
No informar como toca, es un factor delator muy evidente, si tus formularios no incluyen una primera y segunda capa informativa.
Un usuario que entre a tu web debe tener un aviso de advertencia sobre el tipo de cookies y un mecanismo que le permita configurarlas adecuadamente según sus preferencias de privacidad.
También deberás tener adecuadas tu política de privacidad, tu política de cookies, tu aviso legal y si vendes, tus condiciones de contratación si vendes infoproductos.
Las políticas deberán estar expresadas de forma clara, preferiblemente, en formato preguntas y respuestas que cualquier persona pueda entender, independientemente de su formación o conocimientos.
No estás requiriendo el consentimiento conforme exige el RGPD
Muchos tratamientos requieren del consentimiento como única opción para poder utilizarlos legalmente. Uno de esos tratamientos es el de usuarios o suscriptores de una web que todavía no son clientes.
El RGPD plantea otra dimensión del consentimiento que será la que “certifique” la voluntad del usuario. Esto implica desechar mecanismos de captura de información que impidan al usuario hacer una opción consciente e informada.
Se exige que el consentimiento refleje una manifestación de voluntad libre, específica, inequívoca y verificable, es decir, todos esos registros incluidos en tu lista, deben cumplir con esos requisitos. Estos nuevos requisitos harán que tu lista de suscriptores no tenga la legitimidad suficiente o no puedan acreditarse esa legitimidad de forma efectiva y por tanto, tengas que regularizar esa lista.
Cuando se habla de consentimiento específico, se refiere a que la solicitud de consentimiento debe distinguirse claramente de los demás asuntos y para ello, cada formulario debe contar con un apartado específico en dónde el consentimiento se requiera en función a la finalidad de la información recogida en cada formulario, eso implica que no vale un mismo apartado legal para todos, cada formulario debe contar con su propia cláusula informativa.-
Además, el consentimiento es otro gran chivato de incumplimiento, el no contar con un checkbox que requiera un consentimiento válido, te delata claramente como infractor.
También deberás poder acreditarlo debidamente y para eso, deberás recabar pruebas de que los consentimientos han sido otorgados conforme exige la ley, recuerda que con el RGPD, lo del paripé está complicado, todo lo que hagas debe ser acreditable.
Recuerda que el consentimiento debe ser revocable, es decir, debe ser tan sencillo otorgarlo como revocarlo, y por tanto, si en tus boletines no incluyes un enlace para darse de baja, tienes otro factor de incumplimiento muy delator.
No respetas los derechos de tu audiencia sobre sus datos personales
Como usuarios, nos asisten varios derechos sobre la información que nos concierne que todo prestador o responsable debe habilitar y permitir su ejercicio.
Es obligatorio informar a tu audiencia (suscriptores, clientes, etc) acerca de los derechos que les asisten:
- El derecho al acceso fácil a la información que nos concierne, de allí el nuevo derecho de portabilidad, que permite traspasar los datos de un usuario que lo requiera de un prestador a otro .
- El derecho a su rectificación o supresión.
- El derecho al olvido y al de oponernos incluso al uso de datos personales a efectos de establecimiento de perfiles.
- El derecho a limitar el uso de tu información personal a determinadas finalidades.
- El derecho a presentar una reclamación ante la autoridad de control: se debe informar sobre este derecho junto con el resto de los derechos.
Si no estás informando adecuadamente a todos los afectados acerca de estos derechos o no cuentas con los mecanismos adecuados para permitir que puedan ejercitarlos, tienes otro factor delator de incumplimiento entre tus filas.
No incluyes un protocolo Https
Hay muchas medidas de seguridad necesarias que aplicar en una web para proteger la información, no obstante, tener un protocolo de cifrado https es la más evidente desde el punto de vista de un usuario, google lo chiva muy rápido poniendo a tu web como no segura.
¿QUÉ PASA SI TE MANTIENES AL MARGEN EL RGPD?
Las sanciones se han puesto críticas, a mi no me gusta nombrarlas porque creo que la decisión de adecuación debe pasar por otros lugares, el ser más respetuosos, diligentes, confiables, conscientes, profesionales en la gestión de la información son todo ventajas para cualquier profesional.
Si como blogger, no eres de capaz de proteger el principal activo y la materia prima de tu negocio que son tus bases de datos, estás en una situación muy crítica de cara a la supervivencia de tu negocio.
Es puro sentido común, pero además no puedes subestimar el riesgo reputacional de la imagen que proyectas. Posicionarte como infractor frente a tu comunidad es muy temerario, como lo es, renunciar a una ventaja competitiva como es el ser garantista y confiable. ¿A quién confiarías tú tu información?
Por otra parte, las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual. Yo no tentaría a la suerte.
Y SI ADEMÁS TIENES UN E-COMMERCE
Igual, solo que vas a necesitar además, tener preparadas condiciones de contratación. En estos casos, en los formularios de compra o contratación deberás informar si la comunicación de datos es requisito legal o contractual, o un requisito necesario para suscribir un contrato, o si el interesado está obligado a facilitar los datos personales y de las consecuencias de no facilitar esta información.»
Fuente: ayudawp.com