¿Aún tienes dudas de qué es esto del Reglamento General de Protección de Datos? No te preocupes, lee este artículo con las preguntas más frecuentes sobre el RGPD.
Hoy, como ya imagino que sabrás, entra en vigor el Reglamento General de Protección de Datos (RGPD). A lo largo de estos dos últimos meses habrás visto infinidad de artículos y noticias relacionados con este tema (yo mismo escribí uno de cómo adaptar una web a esta normativa). Sin embargo, aún hay quién tiene alguna duda y es por eso que he hecho una recopilación con las preguntas más frecuentes sobre el RGPD que me han hecho.
Si mi web no está dentro de la Unión Europea, ¿debe cumplir con el RGPD?
Sí, ya que el hecho de que no esté en la UE no impide que un usuario de esta zona pueda entrar en ella.
¿Qué documentos tengo que tener en la web para cumplir con la normativa?
Para cumplir con el RGPD, debes tener el Aviso Legal, la Política de Privacidad y la Política de Cookies.
¿Existen plantillas para este tipo de documentos?
No, ya que cada web es distinta de las demás. Puedes consultar el material que te proporciona la Agencia Española de Protección de Datos o contactar con una empresa especializada en obligaciones legales de sitios web.
¿Qué datos deben aparecer en el Aviso Legal?
En este documento deben aparecer, obligatoriamente, tu nombre o razón social (si eres el propietario de la web), tu NIF, tu dirección (o apartado de correos), tu teléfono y tu correo electrónico. Además, existen una serie de datos que también tendrás que mostrar en casos excepcionales, como son:
- Nº del Registro Mercantil (en el caso de que seas una Sociedades).
- Nº de Colegiado (en el caso de que tu profesión sea una actividad sujeta a algún colegio profesional).
- Autorización Administrativa (en el caso de que tu profesión sea una actividad que para ejercerse necesite de algún permiso de la Administración Pública).
- Código de conducta (en el caso de que cuentes con algún tipo de declaración de buenas intenciones o certificado de confianza).
Los datos de una empresa, ¿se consideran datos de carácter personal?
No, solamente los datos de personas físicas (ya sean autónomos o particulares) están considerados datos de carácter personal.
¿Debo seguir mostrando el Aviso de Cookies?
Sí, el Aviso de Cookies no solo debe seguir mostrándose en cada web, sino que además, las cookies que recogen datos de carácter personal deben bloquearse hasta que el usuario dé su consentimiento para su instalación.
¿Debo identificar las cookies que utiliza mi web?
Sí, aunque no es necesario que las menciones, solo que indiques el tipo al que pertenecen (propias, de terceros, de sesión, permanentes,…). Ya, tú eres libre de elegir de qué forma clasificarlas.
Para cumplir con el RGPD, ¿solamente tengo que adaptar mi web?
No, para cumplir con esta normativa, debes adaptar todos los canales a través de los cuales recoges datos de carácter personal.
¿Cuáles son los principales canales a través de los cuáles puedo recoger datos de carácter personal?
Existen infinidad. Dentro de una web, los más comunes son los formularios de contacto, los formularios de suscripción, los de comentarios y los de registro. Pero también existen muchos que son offline (contratos, cámaras de vigilancia, lectores de huellas dactilares,…).
En el caso de que en mi web utilice un servicio externo para los comentarios (como por ejemplo Disqus), ¿sigo siendo yo el responsable del tratamiento de esos datos personales?
Sí, todo dato que recojas a través de tu web, lo almacenes tú o no, es responsabilidad tuya y, además, tendrás que informar a los usuarios de quién va a ser quién los almacene. Si esa persona o empresa está fuera de la UE, deberá estar adscrita al convenio Privacy Shield para garantizar que cumple con el RGPD.
¿Debo almacenar siempre el consentimiento expreso del usuario?
No, solamente es necesario almacenar este consentimiento si se están recogiendo datos de carácter personal. Dicho consentimiento deberá ser accesible por el usuario y a este se le deberá dar la posibilidad de revocarlo.
Para recoger el consentimiento, ¿bastaría con poner un mensaje informativo para el usuario o preseleccionar una casilla y que él se preocupe de desmarcarla si no quiere dármelo?
Rotundamente no. El usuario debe ser consciente en todo momento de que ha dado un consentimiento para que traten sus datos de carácter personal. El consentimiento tácito no está permitido.
¿De qué formas puedo obtener el consentimiento expreso?
Da igual la forma, lo que verdaderamente importa es que el usuario haya tenido que realizar una acción para darlo. Ya sea marcar una casilla o responder a un correo electrónico, el usuario tiene que haber sido consciente de que se le ha hecho una «pregunta» y ha tenido que «responderla».
¿Cómo debo informar a un usuario sobre la privacidad de sus datos?
Mediante dos capas de información. Una que tendrás que poner debajo de cada uno de los canales a través de los cuales recopilas datos personales (mira el ejemplo en los comentarios de este artículo). La otra, será la Política de Privacidad de la web o, para los casos offline, un documento similar anexado al contrato o el canal en cuestión.
¿Sobre qué hay que informar a un usuario en temas de privacidad?
Tendrás que decirles quién es el responsable de los datos, la finalidad para la que los estás recogiendo, la legitimidad (base legal) para la recogida de los datos, los destinatarios de esos datos (si te los vas a quedar solo tú o los vas a ceder a terceros), los derechos que puede ejercer un usuario y una forma de ampliar información (normalmente va a ser un enlace a la Política de Privacidad).
Además, en la segunda capa, deberás informar también de quién es el Delegado de Protección de Datos (DPD), en caso de que lo tengas, como pueden contactar con él y durante cuanto tiempo almacenas los datos recogidos.
¿Es obligatorio tener un Delegado de Protección de Datos?
No, solo las empresas que sean públicas, que recopilen una gran cantidad de datos o que alguno de los datos que recojan sean de nivel de seguridad alto, deben de contar con esta figura.
¿Es necesario algún tipo de formación para ser DPD?
Sí, hace falta realizar un cursillo. Puedes consultar las entidades que lo imparten en la web de la Agencia Española de Protección de Datos.
¿Que tipo de datos se pueden considerar que tienen un nivel de seguridad alto?
Los datos que se clasifican dentro de este nivel son aquellos que están relacionados con historiales médicos, historiales delictivos, afiliaciones a sindicatos y partidos políticos, religión, orientación sexual,…
¿Puedo recoger cualquier tipo de dato?
Poder sí, deber no. Tan solo debes de recoger aquellos datos de carácter personal que necesites para llegar a la finalidad para la que los estás recopilando.
¿Debo tener algún tipo de documento de seguridad?
En función del nivel de seguridad que tengan tus datos sí será obligatorio que cuentes con un documento de este tipo.
¿Hay que seguir registrando ficheros ante la Agencia Española de Protección de Datos?
No, ya no es necesario registrar ficheros. Ahora, tienes que informar a los usuarios, a través de cada uno de los canales por los que recoges datos de carácter personal, de cuál es la finalidad para la que obtienes dichos datos, si se los vas a ceder a algún tercero y el tiempo que los vas a mantener almacenados.
Si no tengo mi negocio adaptado al RGPD el día 25 de mayo, ¿me van a multar?
No, sinceramente no creo que vayan a rastrear cada uno de los sitios web que hay en la red para ver si cumple la normativa o no. Aunque sí estás más expuesto a posibles denuncias y, por tanto, sus consecuentes multas.
¿De cuánto puede ser la multa por no cumplir con el RGPD?
De hasta 20 millones de Euros o el 4% de tu facturación.
¿Alguna otra cosa más que deba saber?
En principio, creo que no. Pero, si tienes alguna pregunta que no haya puesto, escríbela en los comentarios del artículo y te la responderé encantado.
Nos ha surgido una duda a la hora de valorar el nivel de riesgo de los datos.
Se trata de un club deportivo y por ello hay datos médicos relativos a lesiones o a dolencias que afectan a los usuarios que tengan que ver con el ejercicio de actividades deportivas: datos que facilitan los propios jugadores (o sus padres si son menores) en sus fichas para darlos de alta como alergias, intolerancias, lesiones antiguas, etc y partes de accidente por lesiones del jugador durante la temporada, dado que el club conserva una copia del documento que hay que tramitar con la compañía aseguradora donde aparece la naturaleza de la lesión y una breve descripción del tratamiento aconsejado, (rehabilitación, intervenciones quirúrgicas, etc)
Al usar la herramienta facilita y al responder afirmativamente en las páginas 2 y 3 de la herramienta, hace que ésta indique que se debe realizar una evaluación de riesgos.
En este caso, ¿deben realizar una evaluación de riesgos? O ¿estos datos relativos a la salud no se consideran como sensibles y por lo tanto pueden considerarse como una empresa sin riesgo?
Muchas gracias por su ayuda
Buenas tardes Alexander.
En primer lugar, agradecerte tu comentario.
Respondiendo a tu duda, decirte que sí, que cualquier dato médico se considera de riesgo, por lo que debes realizar la evaluación.
Para cualquier otra cosa en la que te pueda ayudar, no dudes en escribirme.
Un saludo y buen finde.