El día 25 de mayo entra en vigor la nueva ley de protección de datos. Afecta a todas las webs. Aquí te explico cómo aplicar la RGPD a tu web.
Entró en vigor hace ya tiempo, unos dos años, el plazo máximo acaba el 25 de mayo de 2018. Es una ley cuyo objetivo es velar por la seguridad en los datos de los usuarios de la UE. Pretende hacer más transparente su gestión. También proporcionar herramientas para que ellos mismos gestionen su alta, baja, modificación o incluso borrado total de su información.
Así pues, es una ley que viene para incrementar la confianza en las webs añadiendo más seguridad
Contenido
¿Mi web tiene que cumplir la nueva ley RGPD?
SÍ, sea cual sea tu web.
Tanto si tu web es una tienda online, un blog de recetas, o incluso si tu web sólo tiene tus fotos de vacaciones, tiene que cumplir con la RGPD.
Porque, como ya hemos dicho, es una ley que quiere la seguridad en los datos de los usuarios. Así que, como buenas personas que somos, y como usuarios que también somos de internet, contribuyamos a defender los derechos de todos en este ámbito, y adaptemos nuestra web tal y como explicaremos ahora.
Mi web no está en la UE, ¿también la tengo que adaptar?
La ley aplica a los derechos de los ciudadanos de la UE, pero la adaptación se está propagando a todas las webs a nivel mundial. ¿Por qué? Porque tu web está abierta a cualquiera, y ese cualquiera puede venir de Europa. Por lo tanto, aunque tu web resida en Estados Unidos, si quiere seguir cumpliendo las leyes (europeas), tendrá que adaptarse a la nueva normativa.
¿Qué datos debo proteger?
Cualquier dato que te dé el usuario. Sea simplemente el nombre, al correo electrónico, si se trata de una web sólo de suscripciones para boletín, por ejemplo. Pero también debes proteger cualquier información que tengas del mismo: direcciones, teléfonos, nif, datos de empresa, color preferido, etc.
Bases de la RGPD
Esos datos personales se recogerán con una finalidad concreta, que debe ser especificada en la web de manera clara. Se debe indicar qué datos se piden, para qué y cuál será su destino.
Los datos personales no deben almacenarse más tiempo del que se necesite para su finalidad. Además, deben ser precisos (no solicitar los que no se necesiten) y estar actualizados.
Los ciudadanos de la UE tienen el expreso derecho de acceso a sus datos personales. Modificación, eliminación, baja, que les envíes una copia, o que reenvíes esa información a otro sistema o entidad, por ejemplo.
Todos los datos personales almacenados, debe tratarse con la máxima seguridad y privacidad. Hay que utilizar los medios necesarios al respecto. Para entidades de gran tamaño, se designará un «Oficial de protección de datos» encargado de esta tarea (OPD).
Novedades de la RGPD
A diferencia de la anterior ley de protección de datos, esta vez hay cambios importantes respecto a la predecesora:
- No será necesario contar con un documento concreto sobre la seguridad de las bases de datos. Esta información podrá englobarse en el registro de actividades.
- Desaparece la obligación de presentar ficheros ante la autoridad. Perose debe llevar un registro de actividades de tratamiento, de carácter interno en lugar de público.
- se amplía el contenido de los contratos con terceros requiriendo descripción detallada de los servicios prestados, posibles transferencias internacionales, etc
- la información sobre acceso, recogida, modificación, eliminación de datos deber ser más clara y estar más ampliada
- se establece el criterio de responsabilidad activa en función de los riesgos detectados
Pero las novedades más importantes, sin menoscabo de las anteriores son las siguientes:
Consentimiento expreso
Cualquier dato que solicites al cliente y que éste te proporcione, tiene que ser con algún sistema que garantice un consentimiento expreso de que desea darte esos datos. ¿En qué se traduce esto? Cada formulario de solicitud de datos debe ir acompañado de una casilla que el usuario marque expresamente (debe ir desmarcada por defecto) en la que confirme que nos cede esa información.
Se acabaron los formularios donde por defecto, la opción estaba marcada. Ahora es exactamente al revés.
Modificación de datos
El usuario tiene el derecho de poder acceder a sus datos con el fin de modificarlos para así tenerlos lo más actualizados posible (responsabilidad única del mismo).
Olvido
El derecho al olvido es un concepto que está muy de moda en los últimos tiempos, y que tiene que ver con la temporalidad de nuestros datos personales. Es decir, yo puedo decidir que se borren todos mis datos para siempre, y que no vuelvan a aparecer más. Y esto es estupendo!
A partir de ahora, los usuarios podrán ejercer su derecho al olvido. Hay excepciones, siempre respetando la ley en aspectos como conservación de facturas (si se trata de tiendas online), y otros casos en los que se deben almacenar los datos por un plazo especificado por ley.
Traspaso y copia de información
Como usuario, tienes derecho a solicitar una copia de la información que poseen de ti, para tu propia referencia. Pero también puedes solicitar que se traspase esta información a otra entidad, para así ahorrarte gestiones o altas en la nueva.
Cómo aplicar la RDGP a tu web
Hemos explicado la parte teórica, pero ahora vamos a ver cómo se hace la práctica.
ACTUALIZA TU PÁGINA DE POLÍTICA DE PRIVACIDAD
El principio que prevalece es el de máxima claridad en la redacción de los textos legales. O sea, escríbelos de manera sencilla y comprensible. Así que tu página de política de privacidad debe incluir lo siguiente:
- Quiénes somos: indica la URL de tu sitio, así como el nombre de la empresa, organización, o individuo que hay detrás, y alguna información de contacto actualizada.
- Qué datos personales recogemos y por qué los recogemos: aquí deberías anotar qué datos personales recopilas de los usuarios y de los visitantes del sitio. Esto podría incluir datos personales tales como el nombre, dirección de correo electrónico, preferencias personales de la cuenta, datos transacionales, como información de compras y datos técnicos, como la información sobre las cookies. Debes indicar por qué los recopilas. En estas explicaciones debe indicarse el fundamento jurídico de la recogida y conservación de tus datos o el consentimiento activo del usuario.
- Comentarios, medios y formularios: deberías anotar qué información se captura en los comentarios, medios y formularios, y la finalidad de la misma.
- Cookies: debes enumerar las cookies que utiliza tu web, incluidas las instaladas por tus plugins, redes sociales y analítica.
- Contenido incrustado de otros sitios web: si es el caso, por ejemplo, e incrustas vídeos de otras webs.
- Analítica: debes indicar qué paquete de analítica usas, cómo los usuarios pueden decidir sobre el seguimiento de la analítica y un enlace a la política de privacidad de tu proveedor de analítica, si lo tuviera.
- Con quién compartimos tus datos: debes nombrar y enumerar todos los proveedores de terceros con los que compartes datos del sitio, incluidos los socios, los servicios basados en la nube, los procesadores de pagos y los proveedores de servicios de terceros, e indicar qué datos compartes con ellos y por qué. Enlaza a sus propios avisos de privacidad si es posible.
- Cuánto tiempo conservamos tus datos: debes indicar cuánto tiempo se conservará cada conjunto de datos y por qué lo conservas.
- Qué derechos tienes sobre tus datos: aquí debes indicar qué derechos tienen tus usuarios sobre sus datos y cómo pueden ejercerlos.
- Dónde enviamos tus datos: aquí debes enumerar todas las transferencias de los datos de tu sitio fuera de la Unión Europea, y describir los medios por los que se protegen esos datos de acuerdo con las normas europeas de protección de datos. Esto podría incluir tu alojamiento web, almacenamiento en la nube u otros servicios de terceros.
La legislación europea de protección de datos exige que los datos sobre los residentes europeos que se transfieren fuera de la Unión Europea se salvaguarden con los mismos estándares que si los datos estuvieran en Europa.
- Tu información de contacto: proporciona un método de contacto para cuestiones específicas de privacidad. Si es necesario que tengas un responsable de protección de datos, indica también aquí su nombre y sus datos de contacto completos.
- Cómo protegemos tus datos: En esta sección debes explicar qué medidas has tomado para proteger los datos de tus usuarios. Esto podría incluir medidas técnicas como el cifrado; medidas de seguridad como la identificación de dos factores; y medidas como la formación del personal en materia de protección de datos. Si has realizado una evaluación del impacto en la privacidad, puedes mencionarlo aquí también.
- Qué procedimientos utilizamos contra las brechas de datos: y esta novedad es de especial interés, porque ahora debes notificar a tus usuarios, y en un plazo máximo de 72 horas, de si se ha producido una brecha en la seguridad que pueda afectar a sus datos. Asimismo, también debes indicar qué medidas utilizas para evitar estas brechas.
- De qué terceros recibimos datos: Si tu web recibe datos sobre los usuarios de terceros, incluidos los anunciantes, esta información debe incluirse en la sección de tu aviso de privacidad relativo a los datos de terceros.
SOLICITA CONSENTIMIENTO
Modifica todos los formularios en los que solicites cualquier tipo de información a tus usuarios. Sea nombre, email, dirección, teléfono, etc. Y añade una casilla de verificación que no esté marcada. Además, si no ha sido pulsada por el usuario, no permitirá finalizar el proceso de alta, compra, etc
INSTALA SOFTWARE DE SEGURIDAD
Para detectar posibles brechas. Así estarás al día de toda la actividad de tu web, y podrás reaccionar e informar rápidamente a tus usuarios.
SSL
La ley no indica expresamente su obligatoriedad, pero sí recomienda que la web trabaje sobre SSL. De esta manera, la información se encripta antes de ser enviada y se añade un grado más de seguridad que el usuario agradecerá. Aquí te explico cómo instalar un SSL.
INSTALA SOFTWARE DE CONTROL DE ACTIVIDAD
En este caso, te servirá para saber si algún usuario o entidad ha realizado alguna modificación interna en la informació n.
OFICIAL DE PROTECCIÓN DE DATOS
Si tu web tiene tanto movimiento que necesitas ayuda para gestionar la seguridad, la ley te «invita» a utilizar la figura del «Oficial de Protección de Datos». Su función es únicamente asumir esa responsabilidad y llevarla a término. Existen programas que puedes instalar en tu web y que facilitan la tarea del OPD.
Información que debe contener tu web
Las páginas web deben contener la siguiente información:
- Aviso legal. Debe constar la razón social, el nif o cif, datos de contacto, inscripción de registro, profesión regular, normativa de uso, etc
- Política de privacidad. Donde se informa del tratamiento que se hará de los datos recogidos.
- Política de cookies. En caso de usarlas, se debe notificar clara y visiblemente de quién las instala, su uso, tipología, finalidad y mecanismo de desactivación.
- Condiciones de contratación. Solo en el caso de las tiendas online.
- Cláusula para comunicaciones comerciales. Debe incluir la posibilidad de darse de baja.
- Otros avisos concretos. Incluye el texto legal correspondiente en todos los formularios, las páginas de recogida de datos.
Conclusión
Es bastante trabajo el que hay que hacer para adaptar las webs a la RGPD. Pero todo es cuestión de ponerse, si no lo has hecho ya. Son tareas que incluso tú mismo podrías hacer. Siempre es más recomendable que lo dejes en manos de un profesional. Aaunque sea para que no se te vaya tu precioso tiempo en estas cosas tan pesadas.
Pero cuando hayas acabado, tus usuarios estarán mucho más contentos. Tendrán una sensación de seguridad que incrementará su confianza en tu web y en tu gestión, y eso siempre es bueno.
Si quieres saber más sobre la RGPD, puedes acceder directamente a la Agencia Española de Protección de datos aquí AEPD
Mucho ánimo y a por ello!