El próximo 25 de mayo de 2018, será de obligado cumplimiento el nuevo Reglamento General de Protección de Datos (RGPD), el cuál afecta, entre otros canales de comunicación, a los sitios web. Por esta razón, deberás adaptar tu web al nuevo RGPD.
Hace poco más de un año, escribía un artículo sobre las obligaciones legales de un sitio web, en el que hablaba precisamente de eso, de todos los aspectos y documentos de carácter legal que debía tener una web, así como las Leyes que los regulaban. Ahora, algunas de esas normativas han cambiado, concretamente con la entrada en vigor del Reglamento General de Protección de Datos, por lo que tendrás que adaptar tu web al nuevo RGPD.
Pero para no generar alertas ni alboroto, vayamos por partes.
¿Qué es el RGPD?
El RGPD (Reglamento UE 2016/679, de 27 de abril) es la norma que pretende que todos los países miembros de la Unión Europea cumplan con una serie de requisitos estándares en materia de protección de datos de carácter personal.
Todas las empresas y profesionales tienen el deber de adaptar los canales de comunicación, a través de los cuáles se facilita información sobre el tratamiento de sus datos a los usuarios, procurando que la información que en ellos se da sea transparente y sencilla de comprender.
Como ya he mencionado, uno de los canales que tienes que adaptar al nuevo RGPD es tu web. El Aviso Legal, la Política de Privacidad, el Aviso y la Política de Cookies, los formularios de contacto, las listas de suscriptores, campos de comentarios,… son solo algunos de los aspectos que tendrás que modificar para cumplir la normativa.
Antes y ahora
Quizás estés pensando que los cambios que tienes que hacer para adaptar tu web al nuevo RGPD sean muchos, que ahora que ya la tenías acabada vas a tener que deshacerla y volver a rehacerla. Nada más lejos de la realidad. Para quitarte ese miedo, te voy a explicar qué es lo que tienes que cambiar.
Formularios
Uno de los elementos que más suele predominar en cualquier tipo de web son los formularios de contacto o para dejar comentarios. Hasta ahora, solo con poner un aviso debajo de ellos (en el de comentarios ni era necesario) informando de lo que ibas a hacer con los datos de los usuarios era suficiente.
A partir del próximo 25 de mayo, el consentimiento tácito del usuario no estará permitido. Será obligatorio, que para poder enviar el formulario o para poder publicar el comentario, cada usuario tenga que marcar una casilla, aceptando la acción. En esa casilla, deberás poner además un enlace a la Política de Privacidad de la web.
También, será obligatorio que incluyas una primera capa de información debajo del formulario, en la que indiques quién es el responsable del tratamiento de los datos, la finalidad para la que se recogen los datos, su legitimación, los destinatarios de esos datos (si se ceden a terceras personas o no), los derechos que pueden ejercer los usuarios y un enlace para ampliar información (que normalmente será el de la Política de Privacidad).
Aquí puedes ver un ejemplo de como estaba antes el formulario de contacto de la web de Web App Design y cómo está ahora.
Aviso Legal
Este documento, que tiene que estar presente en todos los sitios web y que la gente suele confundir con la Política de Privacidad o la de Cookies, apenas sufre variaciones.
Al igual que ocurría hasta el momento, deberás seguir informando de quién es el propietario de la web, su NIF, dirección, correo electrónico y teléfono, así como los datos que se incluyen en los casos especiales (nº de registro mercantil, autorización administrativa, código de conducta, nº de colegiado,…).
También deberás indicar si los contenidos que tienes en tu web (fotografías, documentos, vídeos,…) son tuyos o de algún tercero. En el primer caso, tendrás que indicar que la propiedad intelectual e industrial es tuya. Para el segundo, tendrás que poner que tienes el consentimiento explícito del autor para publicar sus contenidos. Si están bajo una licencia copyleft, deberás cumplir las condiciones que ponga cada autor para utilizar sus contenidos.
Por último, deberás facilitar a los usuarios la forma en que pueden ponerte alguna reclamación o resolver algún conflicto.
Lista de suscripción (newsletter)
Este, posiblemente sea uno de los cambios que más calentamientos de cabeza te dé. Atrás van a quedar esos campos de «suscríbete a nuestra newsletter» que metías en algún rincón de tu web y hacías que al usuario le apareciesen como por arte de magia. Cuando entre en vigor el RGPD, vas a tener que introducir, al igual que ocurre con los formularios, la casilla de verificación y la capa de información básica.
Sin embargo, no acaba ahí la cosa. Lo que más te va a doler (y con razón), es que tu lista de suscriptores ya no será válida. Tantos años recogiendo correos electrónicos de usuarios para enviarles promociones de tus productos o servicios, para que ahora la UE diga que es ilegal.
A partir de ahora, cada usuario que quiera recibir una de tus newsletters, tendrá que dar su consentimiento para que tú puedas enviársela. Pero, ¿qué ocurre con los suscriptores que ya tenías? ¿De verdad los vas a tener que eliminar? La respuesta es no, pero solo si los informas sobre qué vas a hacer con sus datos y obtienes su consentimiento expreso para su tratamiento (recuerda, el consentimiento tácito no está permitido).
De no hacer eso, cualquier correo que les envíes con alguna promoción (después del 25 de mayo) sin que ellos te hayan autorizado, será ilegal.
Política de Privacidad
Este documento, presente también en cualquier web de empresas y profesionales, sufre algunos cambios ligeros a partir del próximo mes de mayo.
Básicamente, la información que debe constar en este documento es la misma que pones debajo de cada formulario, pero ampliada. Para que lo entiendas mejor, te pongo un enlace al formulario de contacto de esta web y otro al de la Política de Privacidad, dónde podrás comprobar cómo se muestra la información en una y otra capa.
Aviso y Política de Cookies
El Aviso de Cookies, será, junto con la lista de suscriptores, otro de los aspectos que más quebraderos te va a dar a la hora de adaptar tu web al nuevo RGPD.
Aunque ya era obligatorio bloquear las cookies de una web hasta que el usuario diese su consentimiento, la legislación española hacía un poco la «vista gorda» en ese sentido. Pero ahora, la Unión Europea sí se ha puesto estricta y exige el correcto cumplimiento de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE).
Dentro de dos meses escasos, cualquier cookie que recoja datos de carácter personal de los usuarios (las de Google Analytics, por ejemplo) deberá ser bloqueada hasta que estos den su consentimiento explícito para ser utilizada.
En cuanto a la Política de Cookies, deberá seguir informando de qué es una cookie, qué cookies se utilizan en la web, cómo se pueden desactivar las cookies y qué consecuencias puede tener el desactivar o no aceptar dichas cookies.
Consentimiento explícito
Como llevo diciéndote durante todo el artículo, para poder tratar los datos de los usuarios o poder instalar cookies en su navegador, deberás tener su consentimiento explícito, es decir, que ellos mismos tienen que realizar una acción (marcar una casilla, por ejemplo), para autorizarte a ello.
Ahora tú puedes pensar: «bueno, si yo sigo con mi lista de suscripciones sin obtener el consentimiento de los usuarios, o sigo con el aviso de cookies de siempre, ¿quién se va a enterar si el usuario me ha autorizado para ello o no?». Si esto se te ha pasado por la cabeza en algún momento, olvídate, pues el consentimiento que obtengas de los usuarios para el tratamiento de sus datos deberás almacenarlo, por si en algún momento tienes que justificar que no lo has obtenido de forma tácita.
Sanciones
Hasta ahora, si no cumplías las obligaciones legales en tu sitio web, la sanción que te podían imponer era de hasta 150.000 € (siempre en función de tu poder adquisitivo y de la gravedad de la infracción). Ahora, con la entrada en vigor del RGPD, esta sanción aumenta hasta los 20 millones de Euros (o hasta el 4% de tu facturación). Como puedes leer, no es algo para tomárselo a risa.
Conclusiones
Personalmente, no creo que esto vaya a ser una caza de brujas para ver quién ha adaptado o no su sitio web al nuevo RGPD, sino que el sistema va a seguir funcionando bajo denuncias. Esto no quiere decir que te relajes, recuerda que es un reglamento europeo y tienes que cumplirlo, pues la sanción te puede llegar (y ya has visto que no es pequeña).
Para acabar, decir que solo con adaptar tu web al nuevo RGPD no quiere decir que lo estés cumpliendo. El resto de documentos que utilizas en tu empresa para recoger y tratar datos personales (un contrato de trabajo, por ejemplo), también tienes que adaptarlos. Para ello, la Agencia Española de Protección de Datos te proporciona una serie de documentos para orientarte, los cuáles puedes consultar en este enlace.
Como has podido leer, el proceso de adaptar tu web al nuevo RGPD no es un proceso tedioso, pero sí requiere de cierto tiempo y conocimientos técnicos.
Si aún te queda alguna duda, o tienes algún tipo de información que pueda complementar el artículo, te invito a que dejes un comentario o mandes un mensaje a través del formulario de contacto.
Perfecto, nunca está de más ver este tipo de posts, así que gracias. He visto asimismo que comentabas cosas sobre protestas y reclamaciones en línea, conque si te apetece, puedo aconsejar un weblog en el que me ayudaron bastante en su instante sobre unos inconvenientes con una empresa concreta.
Buenas Sierra. Muchas gracias por tu comentario, me alegro de que te haya ayudado. Respecto a lo que comentas sobre el weblog, la verdad es que no suelo poner enlaces desconocidos, ya que pueden considerarse como SPAM. De todas formas, como has dejado tu correo electrónico, si alguno de los lectores está interesado, que contacte contigo directamente. Una vez más, gracias por comentar. Saludos.