Saltar al contenido

Megaguía RGPD: Todo lo que necesitas saber para cumplir el reglamento general de protección de datos en tu página web

Se avecinan cambios en todo lo referente a la información que manejas sobre tus clientes, suscriptores, usuarios… En concreto, lo que llega es el Reglamento General de Protección de datos o, como se le conoce de forma abreviada, RGPD. Y con él, llegan también nuevas normas que debes cumplir si tu negocio (o una parte) se basa en almacenar datos personales de otros. Así que si tienes un blog con una lista de suscriptores o has montado tu propia red social, este post te interesa. Pero esos son solo algunos ejemplos. ¿Quieres saber si tu empresa está obligada a acatar este nuevo reglamento? ¿Cuáles son las multas a las que te enfrentas si no lo cumples? ¿Cuándo entra en vigor? Todas esas cuestiones, y muchas más, son las que contestamos a lo largo de este post. Por algo lo hemos titulado «megaguía» ;).

Índice

¿Qué Necesitas?

¿Qué es el RGPD?

Para no perder las buenas costumbres, veamos cómo se define la RGPD en la Wikipedia:

El Reglamento General de Protección de Datos (RGPD) es el reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Como definición no está mal, pero deja varios interrogantes… ¿De dónde viene este reglamento? ¿A quién afecta? Son preguntas importantes que la explicación de arriba no contesta. Empezando por el principio, la RGPD es una normativa aprobada por el Parlamento Europeo y el Consejo. Esto no solo responde a la primera pregunta, sino que también deja clara la segunda: a todas las personas y empresas que viven en la Unión Europea. Su principal función es la de unificar criterios en lo que se refiere a protección de datos, para que en todos los países miembros tus datos personales se traten de la misma manera. Si tienes una página web con un formulario de suscripción, toda la parte legal de almacenar los datos personales de otras personas ya la conozcas por la Ley Orgánica de Protección de Datos (LOPD), y ahora te estés preguntando qué ocurre con esta ley. ¿Se combinan? ¿Tienes que cumplir las dos? Ninguna de las anteriores. La RGPD sustituye a la LOPD. ¿Cuándo? El 25 de mayo de 2018. A partir de ese día, tu negocio online (o la página de tu empresa) debe estar preparada para cumplir la ley.

Principios del RGPD

Este reglamento se basa en unos principios que todas las empresas deben respetar:

  • Transparencia: todo el proceso debe ser lo más sencillo y, sobre todo, comprensible posible. Se acabaron los párrafos llenos de tecnicismos legales infumables. Toda la información debe ser fácil de entender para todo el mundo.
  • Responsabilidad: los negocios tienen que demostrar que están acatando todo lo que exige la RGPD. Es decir, tienen que crear procedimientos, controles, políticas, etc…
  • Protección por defecto y desde el diseño: esto significa que todas las medidas que hay que adoptar, tienen que hacerse desde el comienzo de la creación de la empresa, servicio o producto.

Hablando de este último punto, si estás buscando nuevas ideas para montar tu negocio, te recomendamos nuestro post sobre nichos de mercado.

¿Qué tiene que cambiar en tu página web para seguir dentro de la ley?

Somos conscientes que hacer cambios (en especial si son obligados) en cualquier negocio es una tarea tediosa. Ese miedo a tocar algo que ya funciona y estropearlo es normal pero, la ley es la ley y hay que cumplirla. O no… Aunque si optas por esta vía, te arriesgas a que te sancionen y, como veremos más adelante, las sanciones no son moco de pavo. Por eso, nuestro consejo es que contrates un servicio especializado para que se encargue de las siguientes tareas. Es la mejor manera de evitar problemas. 😉

1. Consentimiento

Esta es la piedra angular sobre la que se sustenta el reglamento general de protección de datos y tiene que cumplir tres requisitos:

  • Específico: toda persona que te aporte sus datos personales, debe realizar una acción que asegure su consentimiento.
  • Expreso: muy parecido al punto anterior ya que, por ejemplo, en un formulario de suscripción no puedes poner el típico mensaje de «al pulsar en el botón de enviar me das tu permiso para almacenar tus datos». Recuerda, tiene que ser el usuario el que especifique su consentimiento.
  • Verificable: los dos puntos anteriores no servirán de nada si no puede acreditarlo.

Y ahora quizás te preguntes qué tienes que cambiar en tu página web con respecto a esto. En la mayoría de los casos, es el formulario para captar suscriptores ya que, como te hemos contado, tiene que cumplir los puntos anteriores. Pero ese no es el único cambio. Junto al formulario para captar los datos personales de alguien, debes incluir un texto en el que aparecen los siguientes datos:

  • Responsable.
  • Finalidad.
  • Legitimación.
  • Destinatarios.
  • Derechos.
  • Información adicional.

Todos estos cambios hacen pensar que formularios de tipo pop-ups o situados en las columnas desaparecerán, ya que quedan poco estéticos.

2. Nuevos derechos para tus usuarios

Como te habrás dado cuenta por lo que te hemos contado hasta ahora, el RGPD busca proteger los datos personales de los usuarios. Para ello, a parte de imponer las medidas que hemos visto, les otorga nuevos derechos como:

  • Derecho al olvido: ya existe una sentencia que lo otorga, pero en el reglamento general de protección de datos se reafirma. ¿Qué significa esto? Que puedes pedir que tus datos sean eliminados.
  • Derecho a la portabilidad: no hablamos a que puedas cambiar de compañía de Internet, sino de que puedes recuperar tus datos para traspasarlos a un tercero que tú elijas.

No cabe duda que son unos derechos muy interesantes, ¿verdad?

3. Verificar la mayoría de edad

«En Internet nadie sabe quién eres». Seguro que has escuchado esa frase en infinidad de ocasiones… Eso es porque, hasta cierto punto, es verdad. Pero eso no te quita responsabilidad. De hecho, la RGPD te obliga a que tengas la certeza de que, si es un menor de edad el que te cede sus datos personales, lo haga con el consentimiento de sus padres o tutores legales. Ahora, si tu página web está enfocada al público infantil, quizás te estés preguntando «¿tengo que escribir el aviso de privacidad en un lenguaje que entiendan los padres y tutores o los niños?» ¿Cuál crees que es la respuesta correcta? Tic, tac, tic, tac… La opción buena es la segunda o, lo que es lo mismo,debes utilizar un lenguaje que un niño pueda entender. Al fin y al cabo, son sus datos los que recolectas. 😉

4. Notificar cuando los datos se vean comprometidos

A poco que navegues por la Red, te encuentras con noticias sobre piratas informáticos que han robado millones en criptomonedas (tienes un post sobre como usarlas en tu estrategia de trading aquí), fallos de seguridad en procesadores y un largo etcétera. Y si algo así les ocurre a las grandes compañías, no cabe duda que le puede pasar a la tuya también. Si esto pasa, hoy en día la ley obliga a las empresas a notificarlo a sus usuarios en algunas ocasiones. Pero cuando la RGPD entre en vigor, cualquier problema relacionado con ataques informáticos debe ser notificado siempre. Esto quiere decir que tienes que implementar varios procedimientos para:

  • Detectar.
  • Informar.
  • Investigar.

La notificación es esencial y no hacerla puede suponer una infracción con multa.

5. La figura del DPO

Otras de las novedades que incorpora este nuevo reglamento es el perfil del Data Protection Officer o delegado de protección de datos en castellano, que no es más que una persona que conoce la RGPD a la perfección y cuyas principales funciones son:

  • Asesorar: a cualquier persona de la empresa o ente público sobre cómo se deben tratar y manejar los datos personales, además de indicar las normas que el reglamento obliga a cumplir.
  • Atención al público: si un usuario quiere informarse sobre cualquier aspecto relacionado con la información que una entidad tiene sobre él, el DPD se encarga.
  • Cooperar con la autoridad: en función del país, el organismo que controla que se cumpla el reglamento cambia. Lo que no lo hace, es la persona que trata con él.
  • Supervisión: por último, es el encargado de asegurar que la empresa cumple todo lo que manda el RGPD.

Todo esto está muy bien, pero a ti lo que te interesa es otro aspecto, ¿tienes que contratar un DPO para tu negocio? Pues depende… Según el artículo 37 del reglamento, es obligatorio contar con esta figura si:

  • Por la actividad de la entidad, se accede de forma constante a una gran cantidad de datos.
  • Se trata de un ente público (con excepción de juzgados).
  • Los datos a los que se acceden están relacionados con delitos, condenas y otros de tipo especial.

¿Significa eso que, si tu empresa no se encuentra en ninguno de esos puntos, no tienes que contar con un delegado de protección de datos? En principio sí aunque nuestro consejo es que, si manejas información personal, mejor que lo tengas en plantilla. ¿Puede ser un miembro del equipo del área relacionada? Por supuestos. Es más, puede ser cualquier trabajador pero, según nuestro criterio, es mejor opción contratar a una persona externa y que domine este campo. Así ahorras en formación y te aseguras que es un experto el que maneja algo tan importante… algo que reduce la posibilidad de ser sancionado. Si aún así prefieres que sea alguien «de dentro», es importante que sepas que debes darle total independencia. Es decir que no puedes:

Todo esto por supuesto, en relación a sus tareas sobre la RGPD.

Las sanciones en la RGPD, ¿qué ocurre si no la cumples?

Pues lo que ocurre si no cumples cualquier otro reglamento, ley, directiva, etc… te sancionan. ¿Cuánto? Eso depende de varios factores que el mismo RGPD recoge:

  • Cómo de grave sea la infracción.
  • Si eres reincidente.
  • El tipo de datos.
  • Qué medidas has tomado para solucionarlo.
  • Si cooperas o no.
  • Tu grado de responsabilidad.
  • Si ha sido intencionado o «solo» una negligencia.
  • Cómo se ha enterado la autoridad del problema.

En función de ellos, tu infracción entra en alguna de las siguientes categorías.

1. Sanción grave

Se considera de este tipo si:

  • Recopilas datos de menores sin el consentimiento de los padres o tutores.
  • No avisas de violaciones de seguridad.
  • Tus medidas de seguridad no son suficientes.
  • No cuentas con un DPO si estás obligado.
  • El DPO no cumple con sus obligaciones.
  • No cooperas.
  • Incumples las obligaciones que indican los organismos de control.

¿Y qué sanción te espera? Un máximo de 10 millones de euros o el 2% de la facturación del año anterior. ¿Te parece mucho? Pues todavía puede ser peor…

2. Sanción muy grave

Si haces todo bien, es muy complicado que te veas en esta situación ya que aquí solo se llega si:

  • No cumples con los principios básicos (falta de consentimiento, no explicas el fin de recabar los datos, etc…).
  • Traspasas los datos a terceros que no ofrecen garantías.
  • Impides que los usuarios ejerzan sus derechos.
  • No mantienes la información en secreto.
  • Incumplir las leyes del país.
  • Impides que la autoridad tenga acceso a los datos.
  • No informas a los usuarios cuando recoges sus datos.

Como ves, se trata de infracciones muy serias por tanto, su sanción también lo es… Un máximo  de 20 millones de euros o el 4% de la facturación anterior.

Esto es todo sobre el RGPD

A través de este post hemos visto todo lo referente al nuevo reglamento general de protección de datos. Ahora sabes a qué te «enfrentas» y cómo adaptar tu negocio para mantenerlo dentro de la legalidad. Ahora puede que, después de lo que has leído, te estés planteando si merece la pena o no realizar todo el trabajo e inversión necesario para algo así… Desde luego es decisión tuya aunque, si tu negocio necesita los datos personales de tus clientes, pocas opciones tienes. ¿Qué vas a hacer? ¿Contratarás un experto para asegurar que todo el trabajo se haga bien, o prefieres que lo haga alguien de dentro? Ya sabes que nuestro consejo es que sea un experto.