InPut Creativity SL - Marketing Digital en Granada

InPut Creativity SL
Registro Mercantil de Granada
Tomo 1440, Libro 0, folio 88, hoja GR-40465 Insc. 1ª

Cuesta de Rodrigo del Campo 37, 18009, Granada
858 952 150
info@inputcreativos.es
Buscar en InPutCreativos.es

InPut Creativity SL / Asuntos legales  / ¿Cómo adaptar mi web al RGPD?
Cómo adaptar mi sitio web a la nueva RGPD

¿Cómo adaptar mi web al RGPD?

Reglamento General de Protección de Datos

Mucho se habla sobre el RGPD ya que el 25 de mayo de 2018 finaliza el periodo que el mencionado Reglamento Europeo de Protección de Datos (GRPD son sus siglas en inglés) y que entró en vigor el pasado 2016, otorga para su obligado cumplimiento por todas las empresas y particulares que recaben datos personales de sus usuarios Europeos por cualquier canal, especialmente por Internet. Este nuevo reglamento obliga a todas las empresas, europeas o no, lo que quiere decir que entidades como Facebook, Google o YouTube deben también respetar la norma. Una de sus principales virtudes es que se trata de una norma común para todos los países miembros, con una ventanilla única para la atención y que agiliza cualquier procedimiento de denuncia por parte del usuario. Como asegura José Luis Zimmermann, director general de la Asociación Española de Economía Digital: “Era necesario que en algo tan esencial para el desarrollo de la economía digital en Europa no hubiese diferencias regulatorias entre los países que puedan generar desventajas competitivas entre ellos”.

Conviene advertir que el no cumplimiento del nuevo reglamento puede acarrear cuantiosas multas para las empresas, que pueden llegar en casos graves hasta los 20.000.000€ (o hasta el 4% de la facturación anual de la empresa sancionada).

Con la revolución tecnológica que vivimos en los últimos años ha quedado obsoleta la Ley Orgánica de Protección de Datos (LOPD) española de 1999, que actualmente está siendo revisada y acondicionada al nuevo reglamento europeo. La nueva LOPD concretará algunos aspectos del nuevo reglamento europeo que pueden resultar algo ambiguos en el texto original, acotando todo lo posible las diferentes interpretaciones que puedan hacerse por parte de los jueces ante la infracción de alguna de sus disposiciones.

¿Qué derechos y obligaciones implica el nuevo RGPD?

La mayor protección de los datos personales es el objetivo primordial del nuevo reglamento. La norma europea otorga mayor y mejor información al usuario y le facilita las herramientas para ejercer directamente sus derechos de rectificación, revocación, oposición y olvido.

Por lo tanto, para las empresas, la principal obligación es ofrecer una información clara y veraz sobre los datos recabados, también cómo y para qué se utilizarán, además se debe obtener de los usuarios su consentimiento expreso e inequívoco para ello.

La nueva disposición legal implica la creación de nuevas figuras de control, como la del Delegado de Protección de Datos, que será en los casos que determine la nueva LOPD, la persona encargada de la verificación del correcto procesamiento de los datos, el entorno de seguridad y del buen uso de las herramientas sobre la privacidad y el tratamiento de datos de cara al usuario. En el RGPD, el DPD será una persona contratada por la empresa que estará blindada en lo relacionado con este cometido, es decir, podrá dedicar el tiempo necesario a estas tareas y no podrá ser despedido ni tampoco ser discriminado negativamente, ni en el salario ni en la promoción dentro de la empresa o institución. Su presencia será necesaria en función de distintos supuestos, entre ellos la sensibilidad y la cantidad de los datos manipulados.

¿Qué cambia con respecto a la LOPD?

Groso modo, el nuevo reglamento europeo, y por consiguiente la nueva Ley Orgánica de Protección de Datos que ahora se gestiona políticamente y que próximamente entrará en vigor contempla estas principales diferencias respecto a la anterior LOPD de 1999:

  • El depositar los ficheros en la AEPD ya no será necesario. En su lugar las empresas con más de 250 empleados o que recaben datos especiales* deberán observar un registro por medios electrónicos de los datos recabados, su finalidad, caducidad, medidas de seguridad, etc… y tenerlo permanentemente actualizado a disposición de la AEPD.
  • La ley de 1999 obligaba a las empresas a llevar un registro de incidencias. Con el nuevo reglamento existe la obligatoriedad de notificar las brechas de seguridad tanto en la AEPD como a cada uno de los usuarios afectados por el fallo en un plazo máximo de 72 horas desde su detección.
  • Amplia los derechos ARCO previstos en la actual Ley de Protección de Datos. El nuevo reglamento que ahora debemos cumplir amplia estos derechos incluyendo el derecho al olvido y el derecho a la portabilidad. El primero es el que tiene toda persona a modificar, cancelar o borrar sus datos personales que estén en posesión de terceros (entidades o personas). Empresas como Google ya facilitan la herramienta que eliminará todo rastro de la persona en el buscador. Sobre el derecho a la portabilidad de los datos, la AEPD indica: “Este derecho complementa al derecho de acceso, ya que permite a las personas obtener los datos que han proporcionado a una entidad/empresa/organización (responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica” y permitirá la opción al usuario de descargar directamente o transferir de una empresa a otra sus datos y publicaciones.
  • La figura del responsable de seguridad presente en la actual LOPD se sustituye por el Delegado de Protección de Datos, comentado anteriormente.
  • Con el nuevo reglamento, será obligatoria la puesta en marcha de evaluaciones de impacto antes de ejecutar gestiones que puedan conllevar un alto riesgo para los derechos y libertades de las personas físicas, ya sea por transferencia de datos o por cambios en las herramientas de recolección de los mismos. Esto anula la anterior norma que obligaba a efectuar un informe de auditoría de la estructura de datos exclusivamente.
  • Las sanciones pasan del escalado en función de la gravedad de la infracción de entre 900 y 600.000€ a los de entre 10 y 20 millones o entre el 2 y el 4% de facturación anual.
  • Mientras que hasta ahora bastaba con la aceptación tácita de la política de privacidad antes de efectuar un registro, una compra o enviar un formulario, ahora será necesaria la autorización inequívoca del usuario antes de continuar con el proceso.
  • Con la nueva normativa será necesaria la verificación de que terceros implicados en el tratamiento de datos cumplan el reglamento, en tanto con la LOPD de 1999 era necesaria la firma de un contrato de tratamiento de datos de terceros.

* Cuando se realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean ocasionales, o incluyan categorías especiales de datos personales (indicadas en el artículo 9 del RGPD) y cuando se realice un tratamiento de datos personales relativos a condenas e infracciones penales, de origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

¿Qué modificaciones debe efectuar una página web?

Centrémonos ahora en lo más interesante en el caso de ser responsables de un sitio web, ya sea un simple blog, una página corporativa o una tienda online de productos o servicios, porque a todos nos afecta el nuevo reglamento europeo.

Como se puede colegir por lo indicado arriba, por un lado los cambios deben afectar principalmente a la información que el usuario recibe a propósito de los datos y el uso que de ellos vamos a hacer, incluyendo hasta qué momento los vamos a guardar y por otro lado a la obligación de facilitar al usuario las herramientas adecuadas para que fácilmente ejerza sus derechos sobre los mismos.

Se introduce el concepto de “privacidad por diseño”, cuya obligatoriedad impuesta por la Unión Europea y que conducirá a incorporar las disposiciones oportunas para la protección de los datos personales directamente en el diseño del software, lo que a su vez aportará calidad y valor añadido a un proyecto digital ya que, desde el primer momento, el desarrollador contemplará la recolección del mínimo imprescindible de datos personales necesarios por parte del usuario (minimización) así como informar de manera transparente y diferenciada sobre su utilización en cada caso en que sea necesario recabarlos.

Los nuevos proyectos que están en desarrollo en el taller de InPut Creativity y, por supuesto, los venideros, ya contemplan lo especificado por el reglamento europeo a nivel diseño. Pero, ¿cómo “legalizar” una web o tienda online que no cumple con el RGPD?

Para empezar hay que revisar cuidadosamente la política de privacidad, que debe ser accesible claramente desde todo punto de la navegación. Su contenido deberá incorporar toda la información relativa al tratamiento de los datos, identificando perfectamente al responsable de los mismos, indicando qué se hará con ellos, por cuanto tiempo se van a guardar y que medidas de seguridad tomamos para evitar su robo o utilización ilegal. Así mismo, debemos facilitar el acceso del usuario a la modificación de los mismos, incluyendo su eliminación. Pero no olvidemos que el objetivo del nuevo reglamento es la mayor información y control por parte del usuario de sus propios datos, por lo tanto es esencial que la presentación de la información sea lo suficientemente atractiva para provocar el interés del usuario por conocerla. Debemos huir por tanto de las fórmulas de redacción impersonales y sobredimensionadas de tecnicismos que han sido hasta ahora de uso común. Debemos conseguir la complicidad del usuario con el mayor rigor y transparencia, usando un lenguaje asequible y sin ambigüedades.

Una vez publicadas las nuevas condiciones de privacidad, debemos asegurarnos de que su aceptación sea obligatoria en cada uno de los formularios que envíen datos personales, ya sean de registro, solicitudes de información, contrato de servicios o venta de productos. Conviene tener en cuenta que datos aparentemente nada sensibles, como la IP de un usuario, son considerados datos personales. Junto a la casilla de aceptación debe estar visible un enlace al texto de privacidad. Esta casilla no podrá estar clicada por defecto ni tampoco se admite su aceptación tácita, como por ejemplo el conocido: “al hacer clic en enviar acepta nuestra política de privacidad”.

De manera interna, como responsables de los datos debemos estar seguros que el acceso de terceros a los datos implica que estos tengan también deben garantizar que cumplen con la normativa.

¿Qué ocurre con los clientes y usuarios de los que no tengo aceptación explícita?

Hasta ahora, la LOPD admitía la aceptación de la política de privacidad de un modo tácito, por lo tanto, las listas de clientes y suscriptores ya existentes deben ahora recabar su aceptación inequívoca, como indica la nueva normativa. Por tanto no basta con modificar los formularios de contacto para añadirles una casilla de aceptación, los consentimientos tácitos que se hayan obtenido hasta ahora habrá que convertirlos en consentimientos explícitos para seguir trabajando con ellos, ya que, si no, cualquier usuario puede convertirse en un denunciante. Para ello, una opción conveniente podría ser una campaña de email dirigida exclusivamente a este cometido, que dirija al suscriptor o cliente a aceptar explícitamente las condiciones de privacidad, al uso de las muchas que llegan constantemente a nuestro buzón.

La seguridad en la transmisión de datos

Uno de los aspectos esenciales de la normativa es la que alude a la seguridad en la transmisión y el alojamiento de los datos. Si bien actualmente los principales navegadores advierten de la inseguridad de los datos introducidos en sitios web sin certificado de seguridad SSL, ahora será indispensable la utilización de protocolo https junto con su correspondiente certificado.

¿Qué puedo hacer para cumplir con el RGPD?

Si es propietario de un sitio web o de una tienda online probablemente necesite ajustar su contenido para que cumpla con la nueva normativa. Para los clientes de InPut Creativity nuestra empresa pone a su disposición un paquete de actuaciones con un precio preferente y completamente gratuito si además son suscriptores de nuestro servicio VEO SEO. Si no es cliente de InPut contáctenos y valoraremos las actuaciones necesarias en su página web.

Si ya es cliente Acceda a su área de cliente

Si no es cliente InPut, por favor Contáctenos

No hay comentarios

Envíe un comentario

INPUT CREATIVITY

Sociedad Limitada

Cuesta de Rodrigo del Campo 37 – 18009 – Granada
858 952 150 – info@inputcreativos.es