La normativa GDPR es una normativa europea y, aunque parece que en España vamos un poco con retraso, hay que tener en cuenta ciertos aspectos que deben cumplir nuestras webs. Lo mejor es que consultes y pongas en marcha tu adaptación a esta ley, antes del 25 de mayo, y estés atento a los avances en soluciones para ésta.
Actualmente la LOPD se basaba básicamente en crear un documento indicando los datos que se recopilan y como se gestionan estos, y los datos se recogían previa aceptación del usuario de la política de privacidad presentada en la web.
Con la nueva normativa GDPR hay que darle información al usuario qué vas a hacer con sus datos y cómo lo vas a hacer:
- ¿Éste plugin reúne datos?
- ¿Qué tipo de datos?
- ¿Nombre? ¿Correo? ¿Ciudad? ¿Dirección?
- ¿El formulario de comentarios los reúne?
- ¿Para qué quieres mi correo?
- ¿Qué enviarás? ¿Cómo lo guardarás?
Debes ser capaz de explicarle a tu asesor primero, y a tus clientes después:
- Qué datos recopilas
- Dónde los almacenas
- Con qué objetivo los solicitas y recopilas
- Por cuánto tiempo los recopilas
- Qué harás con ellos durante ese tiempo
¿Cumple tu sitio web los requisitos de GDPR que entrarán en vigencia el 25 de mayo de 2018?
A continuación presento los 9 recomendaciones que se deben realizar en una web para cumplir con la ley a la hora de almacenar los datos de clientes recogidos en la web.
1. Formularios: check aceptar política de privacidad y condiciones y usos
Los check que aparecen en los formularios de suscripción a newsletter o solicitud de información para aceptar las condiciones de uso de los datos y la política de privacidad deben estar en blanco y, además, debe ser obligatorio marcar dicho check para aceptar la información.
2. Opción de participación desglosada
Se debe dar la opción al usuario para que selecciones el uso que se le va a dar a sus datos. Por ejemplo, quiero obtener información de un tipo producto específico, pero no quiero que me envíen información comercial de la empresa.
3. Opción de aceptación según medio de comunicación
Se debe especificar los medios (email, teléfono, SMS, whatsapp, …) por los que la empresa se puede poner en contacto con los usuarios y dar la opción a que selecciones el medio. Así como la aceptación de que dichos datos van a ser tratados por terceras empresas.
4. Fácil de cancelar o modificar datos
Debe ser tan fácil la cancelación o modificación de los datos y, además, se debe informar al usuario cómo puede hacerlo.
En la modificación de datos el usuario debería poder cambiar el tipo de contenido recibido o la periodicidad de las comunicaciones.
5. Partes designadas
Se necesita especificar de quién va a recibir información el usuario. Si hubiera varios emisores, se debe especificar todos y que el usuario pueda seleccionar de quién quiere recibir información.
6. Aviso de Privacidad y Términos y Condiciones
Se deberá actualizar sus términos y condiciones en su sitio web para hacer referencia a la terminología de GDPR. En particular, deberá hacer que sea transparente lo que hará con la información una vez que la haya recibido, y por cuánto tiempo conservará esta información tanto en su sitio web como en sus sistemas de oficina.
7. Pagos online
Si usted es un negocio de comercio electrónico, es probable que esté utilizando una pasarela de pago para transacciones financieras. Su propio sitio web puede recopilar datos personales antes de pasar los detalles a la pasarela de pago.
Si estás utilizando una plataforma de comercio electrónico y recoges los datos del cliente antes de pasar los datos a la pasarela de pago, deberás eliminar los datos de información personal después de un período razonable, por ejemplo, 60 días. La legislación GDPR no es explícita sobre el número de días.
8. Software de seguimiento de terceros
En principio, las empresas que ofrecen servicio de rastreo y seguimiento para marketing aseguran que cumplen con GDPR, aunque aconsejan que se informe de forma clara es uso de cookies.
Aunque los proveedores de estas herramientas digan que cumplen con GDPR, si el software está haciendo algo ilegal, la responsabilidad es de su negocio como el controlador de datos. La verdadera pregunta es identificar los riesgos de cumplimiento de GDPR al usar este tipo de software y mitigar sus riesgos como propietario de un negocio. Como resultado, debe revisar su contrato con estos proveedores de software.
9. ¿Qué pasa con Google Analytics?
Muchos sitios web están configurados para usar Google Analytics para rastrear el comportamiento de los usuarios. Google Analytics siempre ha sido un sistema de seguimiento anónimo. No se recopilan “datos personales”, por lo que parece que GDPR no afecta su uso.
¿Es necesario contratar a un delegado de protección de datos en el RGPD?
Según los artículos del Reglamento europeo regulan la figura del Delegado de Protección de Datos 37 y 39 se establecen tres supuestos:
- Si el tratamiento de los datos corre a cargo de una autoridad u organismo público (sólo organismos públicos).
- Las actividades y operaciones principales del responsable de datos exigieran seguimiento regular y sistemático a gran escala.
- Las actividades y operaciones principales del responsable requirieran tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
Las funciones del delegado de protección de datos son:
- Informar al responsable o a los responsable del tratamiento de datos sus obligaciones en el tratamiento.
- Supervisar al el correcto cumplimiento de la normativa y las labores derivadas de la misma como la asignación de responsabilidades o la formación del personal.
- Asesorar sobre la evaluación de impacto relativa a la protección de datos y cerciorarse de la aplicación conforme a la normativa europea y la propia ley orgánica de protección de datos.
- Colaborar con la autoridad de control comunitaria y nacional encargada de velar por la aplicación de la normativa y ser punto de contacto.
Se puede obtener más información aquí.
Es un poco trabajoso, pero nada difícil de adaptar. Pero hay que hacerlo sí o sí y cuanto antes. Las sanciones no son poca cosa.