A veces, es difícil saber con qué tienes que cumplir por ley y es algo que a todos nos preocupa, sin ninguna duda. Empezando por su nombre: RGPD.
¿Será que esta plataforma o programa de email marketing está cumpliendo totalmente con la RGPD/LOPD?
Todas nos lo “confirman” pero, ¿realmente es así?
Es complicado porque la normativa no te da una plantilla con lo que sí debes tener en tu página web o en tus correos como si fuera una lista predeterminada.
Es algo abstracto, ya que tienes que tener tu propio criterio sobre el valor de los datos que vas a tratar y establecer la seguridad que se merezcan.
Si buscas por internet, seguro te salen millones de resultados con plantillas prediseñadas, algunas gratuitas y otras no, pero creo que lo más importante de todo es que tengas muy claro qué bases tienen que cumplir tus sitios/plataformas para cuidar todos los detalles.
Tienes que estar seguro de que descargues lo que descargues, cumplen realmente con la ley porque el perjudicado de las sanciones, serás tú.
En este post te voy a echar una mano, te voy a explicar de qué trata la legislación vigente, qué puntos tienes que tener seguros para cumplir con las normas y un ejemplo seguro y fiable que puedes seguir.
RGPD
Es la normativa europea aplicable a todos los países miembros referente a la protección de datos personales.
Es obligatorio y directamente aplicable, sin necesidad de una ley nacional.
Novedades respecto a la Directiva 95/46/CE (anterior RGPD)
- Las empresas deberán valorar qué tipo de datos son los que están manejando para, en función de la probabilidad de riesgos y la gravedad, establecer las medidas de seguridad apropiadas.
- Las empresas deben asegurarse que están cumpliendo con la RGPD, por lo que, de antemano, ya cuentan con la privacidad por defecto.
- El importe de las sanciones aumenta: como máximo, hasta 20 millones de euros o el 4% de la facturación anual (el que sea mayor).
- Se instaura la figura del Delegado de Protección de Datos (obligatoria para algunos casos) que cumple las funciones de: asesorar y guiar a la empresa en el cumplimiento de sus obligaciones, supervisar que se están cumpliendo con las leyes , concienciar a los empleados y ser el enlace con la Agencia Española de Protección de Datos.
- Se refuerza el deber de informar a los interesados, antes de llevar a cabo un tratamiento de datos.
- El consentimiento debe ser claro, informado e inequívoco, es decir, debe ser una manifestación claramente afirmativa.
- Se obliga a notificar de cualquier violación de la seguridad de datos personales en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos (AEPD).
LOPD y LOPDGDD
La LOPD es la Ley Orgánica de Protección de Datos Española que sirve para explicar con más profundidad y claridad alguno de los puntos de la RGPD, además de completarla, teniendo siempre en cuenta que la norma principal es la RGPD y hay que tenerla como base.
La LOPDGDD es la ley aplicada a los entornos digitales que cuenta con las siguientes novedades:
- Derecho al olvido: el interesado podrá exigir la supresión de sus datos personales en el entorno digital.
- El acceso a internet por los menores de edad: sólo los mayores de 14 años pueden dar su consentimiento para el uso de sus datos.
- Derecho a la neutralidad: los datos que transitan por la red, deben ser transparentes, sin que haya lugar a pagos por acceder o visitar contenidos, páginas web o plataformas.
- Derecho al testamento digital: los parientes cercanos o herederos del fallecido podrán solicitar a el/los encargados de los datos personales, su acceso, así como su rectificación o supresión.
¿Cómo cumplo con la LOPDGDD?
Es necesario facilitar, al menos, la siguiente información cuando estamos recabando datos:
- Tratamiento, finalidad y destinatarios.
- Ejercicio de sus derechos.
- Identidad y datos de contacto del responsable.
- Legitimación para el tratamiento.
- Plazos de conservación de la información.
- Adecuación de la transferencia internacional al marco legal.
- Utilización de datos para la elaboración de perfiles.
Cookies
Para cumplir legalmente con el uso de cookies, la AEDP publicó el 8 de noviembre de 2019 una Guía sobre su uso:
- Admite la opción de “seguir navegando”.
- Acciones como: cerrar el aviso, darle clic a algún contenido de la página o mover la barra de desplazamiento, se traducen como manifestaciones afirmativas de la aceptación de su uso.
- Se recomienda la renovación del consentimiento cada 24 meses.
- Se amplían las cookies necesarias: elección del idioma y otros ajustes voluntarios y conscientes por parte del usuario.
Una ayuda rápida
La página de Cookiebot nos asegura un chequeo de nuestra página web para comprobar que todo cumple con la normativa europea y española vigente.
Es una plataforma freemium, por lo que la versión gratuita sólo escanea 5 sub-páginas de tu dominio y te envía un informe completo, y la versión de pago es a través de una suscripción en la que te escanea toda la página.
Cuando insertas el enlace de tu sitio web y rellenas los datos que te piden (sólo el correo electrónico al que te van a enviar el informe), te llega un correo donde tendrás que confirmar que ese es tu correo para que puedan enviarte los resultados.
A los 10-20 minutos, te llega el informe a tu correo.
Qué tienes que tener para estar claro
- Registro de Actividades del Tratamiento (RAT): documento que debe constar por escrito (como mínimo en formato electrónico, aunque suele estar afincado en tu página de Política de Privacidad).
- Análisis de Riesgos (AR): Dependiendo de la gravedad e importancia de los datos tratados, hay que tener una estructura interna para saber cómo actuar ante dichos datos y demostrar ante la AEPD que tu actividad cumple con la normativa, por lo que tienes que documentar qué haces con ellos, durante cuánto tiempo, en qué contexto y ámbito y su naturaleza.
- Medidas de seguridad a aplicar: la seudonimización (hacer “menos” identificables a las personas) y cifrado de los datos personales, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los datos tratados, la capacidad para restaurar la disponibilidad y acceso a los datos en caso de fallo técnico o personal y un proceso de verificación, evaluación y valoración regulares de estas medidas de seguridad.
- Cumplimiento del deber de informar: al lado del botón de enviar en cualquier formulario debe estar la leyenda sobre qué se va a hacer con los datos para empezar a ser transparentes. Debes redirigir al usuario con, por ejemplo, un “leer más” a continuación de la información para que conozcan todos los detalles sobre qué se va a hacer, cuándo, quiénes lo van a hacer y de qué manera con sus datos.
Para asegurarte de que tus usuarios están informados acerca de la Política de Privacidad de tu sitio, puedes enviarles un correo electrónico mediante una automatización cuando se suscriben a tu boletín.
Lo generalizado es lo que te he explicado antes, hacer referencia a una página interna donde expliques toda tu Política de Privacidad.
Cómo crear una campaña que cumpla con el RGPD/LOPD
Qué tienen que tener tus correos para cumplir con esto, sí o sí.
El correo, debe contar cómo mínimo al pie de página con:
- Quién está tratando mis datos (Nombre y apellidos).
- Dirección postal a donde debo dirigirme en caso de necesitar más información, o la supresión o modificación de mis datos, incluyendo dirección, número, código postal y país.
- Correo electrónico (es gratuito, mientras que el anterior no lo es) a donde debo dirigirme para las mismas cuestiones.
Textos legales
¿Cuántos textos legales debo tener en mi página web?
Dependiendo del contenido de tu página web, debes contar con:
- Aviso legal.
- Política de privacidad.
- Política de cookies.
- Condiciones de contratación.
Además, cada uno cuenta con sus propios requisitos y puedes informar de todas ellas a través de la misma sub-página dentro de tu sitio web.
Aviso legal
Se rige por la Ley Orgánica 3/2018, de 5 de diciembre y el RGPD.
Es obligatorio en caso de:
- Contener publicidad en tu página por la que recibes ingresos.
- Si es una tienda online.
- Si es corporativo (pertenece a un profesional).
Datos que contiene
- Su nombre o denominación social y datos de contacto.
- Número de inscripción en el registro mercantil.
- NIF/CIF.
- Si necesitas una autorización administrativa debes indicar qué órgano de supervisión es, su identificación y los datos relativos a la misma.
- Datos del colegio profesional.
- Condiciones generales de venta o contratación.
- Otros: cláusulas de propiedad intelectual, industrial, responsabilidad, condiciones de uso de la web, etc. NO SON OBLIGATORIOS.
Política de Privacidad
Se deben tratar de acuerdo a la ley LOPD 15/1999 y los datos deben ser tratados con confidencialidad.
Es obligatoria, como ya te he explicado anteriormente.
Datos que contiene
- Informar que existe un fichero de usuarios.
- Titularidad legal de ese fichero.
- La finalidad para la que se recogen.
- Dónde y cómo ejercer los derechos ARCO: derecho de acceso, rectificación, cancelación y oposición ante el titular de la web.
- Política de cookies.
Política de Cookies
Todos los sitios web utilizan cookies propias o de terceros para el seguimiento del tráfico, crecimiento y movimientos de su página.
Se rige por la ley 34/2002, de 11 de julio o Ley de Servicios de la Sociedad de la Información.
Suele estar al pie o en el encabezado de la página cuando accedes y debes aceptarlas o realizar alguna acción que manifieste la aceptación de las mismas.
Es obligatoria.
Datos que contiene
- Qué son y qué tipos hay.
- Cuáles son las que utilizas en tu página.
- Aceptación de esta política.
- Cómo pueden modificar la configuración de las cookies.
Condiciones de contratación
No se aplican de manera individual, sino que son para todos los compradores.
Se rige por el Real Decreto Legislativo 3/2014, de 16 de noviembre.
Es obligatorio siempre que se trate de una tienda de productos o servicios online.
Datos que contiene
- Características de los bienes o servicios.
- Identidad del empresario.
- El precio total (con impuestos y tasas).
- Los procedimientos de pago, entrega y ejecución.
- Recordatorio de la existencia de garantías legales.
- La duración del contrato y las condiciones de resolución .
- La lengua o lenguas de formalización del contrato.
- La existencia del derecho de desistimiento.
- Funcionalidad de los contenidos digitales.
- Interoperabilidad relevante del contenido digital .
- Procedimiento para atender las reclamaciones de los consumidores y usuarios.
Debes ser muy conciso y claro, ya que cualquier cláusula que sea ambigua, se realiza a favor del comprador, para evitar abusos.
¿Qué debe contener mi formulario?
Un claro ejemplo que nos sugiere Sendinblue en sus formularios y que no es editable, sería:
Informar dónde puede cancelar, modificar, suprimir o rectificar sus datos: Puede cancelar su suscripción cuando quiera mediante el enlace de nuestra newsletter.
Casilla de aceptación: Acepto las condiciones y recibir sus newsletters.
Leyenda del formulario de carácter informativo sobre la aceptación de su uso: Usamos Sendinblue como plataforma de marketing. Al hacer clic a continuación para enviar este formulario, consiente que la información proporcionada sea transferida a Sendinblue para su procesamiento de acuerdo con sus términos de uso.
Te leo en los comentarios.
¡No te olvides! Únete a mi comunidad y recibe las últimas actualizaciones.