Cómo adaptar tu negocio al RGPD y olvidarte de cualquier sanción

Adaptación al RGPD

ACTUALIZADO A 2022

 

Si tienes un negocio muy probablemente no estás cumpliendo con la protección de datos, bien por desconocimiento o porque piensas que no te va a pasar nada, pero las cosas están cambiando, y en materia de protección de datos, la Unión Europea ha armonizado la normativa entre todos los países, y se han puesto muchos más estricto. Además, los usuarios ya se preocupan de comprobar si se protegen sus datos.

Y no pienses que por poner los textos legales en tu web y un checkbox en los formularios para que acepten la política de privacidad ya estás cubierto, cumplir con la protección de datos es mucho más, y en este post te lo voy a explicar paso a paso. porque no es tan complicado como parece.

Te preocupas por tener un negocio rentable, y eso supone también preocuparte por proteger los datos de tus clientes y usuarios, ya que transmite profesionalidad y confianza, a parte de evitarte importante sanciones económicas.

 

¿Qué es la protección de datos?

 

Es una normativa que regula la forma en la que puedes tratar los datos de terceros.

Desde mayo de 2018 esta regulación es igual en toda la Unión Europea, dándole un mayor control a los usuarios del uso que se hacen de sus datos.

 

¿Cuándo tienes que cumplir con la protección de datos?

 

Tendrás que cumplir con la protección de datos siempre que trates datos de terceros, sin importar si aún ganas dinero con tu negocio o no.

Incluso si tienes un blog personal donde hablas de tus vivencias y que no monetizas, también tienes que cumplir esta normativa, ya que no se considera que sea de uso doméstico porque es público al estar en internet.

Es decir, tú debes cumplir con el RGPD:

  • Recoges cualquier tipo de dato de visitantes de tu web (como la dirección IP que recoge Google Analytics).
  • Vendes productos, infoproductos, formación o servicios.
  • Tienes un formulario de contacto en tu web o tienes habilitados los comentarios en tus posts.
  • Tienes un formulario de suscripción.

Además, debes tener en cuenta que aunque tu negocio no se encuentre en un país de la Unión Europea, si tienes usuarios de estos países, igualmente tendrás que cumplir con el RGPD.

 

 

Consecuencias de no cumplir con la protección de datos en tu negocio creativo

✯ No dar una imagen profesional

 

Es el motivo principal por el que tu negocio creativo debe cumplir con la protección de datos, ya que cada vez más los usuarios se preocupan en cómo un negocio va a tratar sus datos.

¿Crees que un cliente que tiene unos valores éticos y de sostenibilidad no se va a fijar en que la empresa a la que va a comprar también se preocupa en proteger sus datos? 

Tus clientes potenciales conocen sus derechos.

Cumplir con la protección de datos muestra profesionalidad, pero también un trabajo ético.

 

 

✯ Proteger un activo muy importante de tu negocio

 

Ya sabes el valor que tiene para tu negocio los datos de los usuarios de tu web, de tus suscriptores y de tus clientes, y por ello es importante que los protejas.

¿O quieres que tu competencia pueda hacer uso de ellos si te hackean tu cuenta de email marketing o tu web?

Toma las medidas de seguridad necesarias para protegerlos.

 

 

✯ Sanciones

 

No es el motivo por el que debes cumplir con la protección de datos, pero sí el único que hace que algunos negocios sí cumplan con la normativa.

Sé lo que estás pensando….

“Pero si yo no soy un gran negocio, cómo me van a sancionar? Ni saben que existo

 

La AEPD no está pendiente de quién cumple o no, pero denunciarte es muy sencillo, e incluso tu propia competencia lo puede hacer, porque además las denuncias son anónimas.

Entran en tu web, ven que no cumples con la LOPD, hacen una captura de pantalla y se la envían  la AEPD. Así de sencillo.

Tras la recibir la reclamación, la AEPD se pone a investigar y visitará tu web. Y entonces, podrá archivar la causa, avisarte que tienes que ponerte al día en la protección de datos o sancionarte directamente

Y sí hay sanciones a web como la tuya.

En la web de la AEPD puedes ver todas las resoluciones, ya que son públicas.

Por cierto, la Junta de Andalucía sí está controlando los ecommerce que no cumplen con la normativa.

 

 

Cómo cumplir con la ley de protección de datos (paso a paso)

 

Hay mucha información en internet sobre cómo cumplir con la lopd, pero es muy confuso y además incompleto, por lo que al final terminas más liado o liada de lo que estabas en un principio.

¿A que es así? Y al final desistes, y lo dejas para otro día, mientras sigues sin cumplir con la protección de datos en tu negocio…

Por ello te voy a indicar paso a paso, qué es lo que tienes que hacer, para que al fin lo tengas claro 😉

 

 

✯ Textos legales

 

Desde el momento que obtengas ingresos con tu blog por publicidad o enlaces de afiliados ya tienes que cumplir la LSSI (Ley  de Servicios de la Sociedad de la Información y del Comercio Electrónico), aunque en parte también está relacionada con la LOPD.

Por tanto, tendrás que incluir los siguientes textos legales en tu web:

  • Aviso legal
  • Política de cookies
  • Política de privacidad
  • Condiciones de venta o de contratación

 

Deben estar siempre visible, desde cualquier página, por eso lo recomendable es ponerlo en el footer a pie de página, pero también pueden estar en la parte de arriba de tu web.

No olvides tenerlos siempre actualizados, por ejemplo si cambias de proveedor de hosting, tienes que modificarlo.

Crea textos legales que inviten a leerlos, siguiendo el tono de tu negocio.

En el post Cómo hacer los textos legales de tu web te cuento qué es lo que debe contener cada uno de ellos.

 

 

✯ Cuidado con las cookies

 

En relación al popup de las cookies, es muy importante que utilices un plugin que realmente bloquee las cookies hasta que el usuario las acepte, ya que ya ha habido sanciones por no ser así.

Te recomiendo plugin como Cookiebot, GDPR Cookie Compliance o GDPR Cookie Consent, que cumplen con esta función.

 

 

 

 

✯ Adaptar los formularios de la web

 

En todos los formularios que tengas en tu web estás recopilando datos, y para que este tratamiento sea válido tiene que tener un consentimiento expreso que se consigue cumpliendo con el deber de informar, es decir:

  • Incluir un checkbox enlazando a la política de privacidad, para el usuario tenga que aceptarla, entendiéndose así que da su consentimiento. Es por ello que no puede estar premarcado.

 

  • Y para que ese consentimiento sea válido, es necesario que sepa a qué está dando su consentimiento, es por ello que hay que incluir la coletilla legal donde se incluye la información básica del tratamiento de los datos.

 

Te pongo el ejemplo del formulario de contacto de mi web:

Formulario de suscripción adaptado al RGPD

No olvides adaptar cada uno de los formularios: 

    ✔︎ Suscripción

    ✔︎ Contacto

    ✔︎ Comentarios

    ✔︎ Venta

    ✔︎ Suscripción a webinar

    ✔︎ ….

Y recuerda que cada uno de ellos tienes una coletilla legal diferente, acorde a la finalidad de cada uno de ellos.

 

 

✯ Adapta la documentación de tu negocio

 

Pero no solo hay que informar en la web sobre el tratamiento de datos que se hace, sino también en la documentación de tu negocio. 

Es por ello que también tienes que incluir la coletilla legal correspondiente en:

    ✔︎ Las newsletters que envías a tus suscriptores

    ✔︎ A pie de cada email corporativo

    ✔︎ En los presupuestos

    ✔︎ En las facturas

 

 

 

✯ Los encargados de tratamiento de datos

 

Desde la entrada en vigor del RGPD en mayo de 2018, es importante que te preocupes por trabajar con proveedores que cumplen con la normativa en materia de protección de datos, ya que si no lo haces, estarás poniendo en riesgo los datos que tratas, y por ello no cumpliendo tampoco con la protección de datos.

Además, debes firmar un acuerdo de encargado de tratamiento de datos con cada uno de los proveedores dejando claro cómo deben tratar esos datos a los que tienen acceso.

Algunos de los proveedores con los que trabajes pueden que ya tengan su propio acuerdo (DPA) listo para que te lo descargues directamente, como es el caso de Mailchimp, o lo incluye en sus condiciones de contratación.

Ambos casos son igualmente válidos.

Estos documentos tienes que guardarlos en tu carpeta de LOPD por si en algún momento tienes una inspección de la Agencia Española de Protección de Datos.

 

 

✯ El registro de actividades de tratamiento (en sustitución al alta de ficheros en la AEPD) (RAT)

 

Este documento es la base de toda la gestión de la protección de datos de tu negocio, y sustituye el alta de ficheros en la AEPD.

En él es donde vas a indicar de forma detallada los tratamientos de datos que vas a realizar: usuarios de la web y suscriptores, alumnos, clientes, proveedores, videovigilancia, empleados,….

Tendrás que especificar los siguientes datos:

  • Quién es el responsable y el Delegado de Protección de Datos si se requiere.
  • Qué datos se recogen, con qué finalidad, quiénes son los interesados y las categorías de datos personales.
  • A quién se va a transferir y ceder los datos.
  • Qué medidas técnicas y organizativas se van a aplicar para asegurar los datos que se tratan.

 

 

 

✯ Hacer un análisis de riesgo y evaluación de impacto

 

Una vez que tienes redactado los registros de tratamiento de datos, tendrás que redactar el análisis de riesgo, que es el resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. 

Tendrás que valorar:

  • ¿Se tratan datos sensibles?
  • ¿Se incluyen datos de una gran cantidad de personas?
  • ¿Incluye el tratamiento elaboración de perfiles?
  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?

 

En definitiva es valorar si hay posibilidades de que esos datos se pierdan, los roben, podamos borrarlos,….

 

 

✯ Medidas de seguridad

 

Porque según los posibles riesgos que hayas detectado en el análisis de riesgo, vas a indicar las medidas de seguridad que vas a adoptar para que las posibilidades de que el riesgo se produzca sean las mínimas, o que cause el menor de los problemas posibles.

Por ejemplo, si te roban un dispositivo móvil donde almacenas datos, como puede ser acceso al email, al Google Drive, etc…. ten establecido un sistema para poder borrar la documentación en remoto o cancelar su acceso desde ese dispositivo.  

 

 

✯ Establece un protocolo de ejercicios de derechos ARSO

 

También tendrás que establecer los pasos a seguir cuando un usuario o cliente solicite ejercitar su derecho ARSO, como puede ser eliminar sus datos, corregirlos, portarlos, etc….

Tienes que responder siempre en el plazo de 10 días, aunque no disponga de ningún dato de esa persona.

 

 

✯ Ten un protocolo en caso de brechas de seguridad

 

Por último, establece cómo actuar en caso de producirse una brecha de seguridad,  como puede ser el borrado de datos, filtración de base de datos, hackeo de la web, pérdida de pendrive con datos del negocio,….

En 72 horas, según el caso, tendrás que notificar a la AEPD.

Todo debe quedar por escrito.

 

No olvides que todo esta documentación interna tiene que estar siempre actualizada, ya que es lo que va a solicitarle la Agencia Española de Protección de Datos en caso de inspección.

 

 

Opciones para cumplir con la protección de datos

 

Seguramente te parezca una locura poder cumplir realmente con la protección de datos, pero no te preocupes que te traigo dos soluciones para que al fin estés tranquilo o tranquila cumpliendo con la LOPD y LSSI.

 

 

✯ Delega esta tarea contratando los servicios de un profesional

 

Puedes contratar mi servicio de Adaptación a la LOPD y a la LSSI donde yo hago todo el trabajo por ti y te doy todas las pautas para que luego puedas mantenerla siempre actualizada.

Al finalizar, te entrego un manual donde te indico qué hacer en cada situación y cómo poder probar ante la AEPD que mantienes la documentación actualizada.

 

 

✯ Márcate un DIY

 

Y si prefieres hacer tú mismo/a la adaptación a la protección y a la LSSI, bien porque prefieres controlar bien toda esta materia o porque estás empezando y no puedes contratar el servicio de un profesional, he creado el Curso de Protección de Datos para negocios online, donde te voy guiando paso a paso por todos los puntos que te he indicado anteriormente. Además, incluye las plantilla de toda la documentación que vas a necesitar, para hacerte la tarea muy sencilla.

 

 

¿Tienes ya tu negocio adaptado al RGPD? ¿Conocías todos los aspectos que debes cumplir? Es hora de pasar a la acción.

Te espero en los comentarios si tienes alguna duda.

 

Recuerda compartir este post en tus redes sociales, estarás ayudando a tus compis emprendedores  

30 thoughts on “Cómo adaptar tu negocio al RGPD y olvidarte de cualquier sanción”

  1. ¡Hola Mayte!
    Primero de todo quiero agradecerte la información que compartes, por tu claridad a la hora de exponerlo todo, he leído mil blogs y webs y hasta encontrarte a ti estaba perdidísima.

    Quiero empezar un negocio online de venta de productos hechos por mi. Siendo sincera creo que ni con el curso que ofreces sería capaz de llevar yo misma el tema de la protección de datos. Estoy intentando solicitar un presupuesto, pero me pide datos de “mi negocio”. Como puedo solicitarlo si no dispongo de negocio todavía? Tengo que hacer una valoración de costes antes de saber si voy a poder hacer frente a todos los gastos que conlleva empezar…

    Muchas gracias y un saludo.

    1. Hola Iris,
      Muchísimas gracias por tus palabras 🙂
      En relación a la solicitud de presupuesto es suficiente con que me indiques los datos que conozcas de tu negocio, no te preocupes por eso, es sólo para hacerme una idea.
      Un saludo

  2. Las políticas de privacidad son fundamentales y pueden haber serios problemas si no se cumplen todos los requisitos. Enhorabuena por la explicación. Gracias por los datos.

    1. Exacto Luisa, es muy importante cumplir con la protección de datos. Gracias a ti por comentar. Un saludo

  3. Fermin Ruiz

    Gracias por sus consejos. A parte de la ley hay que tener en cuenta la confianza que depositan los clientes en nuestra empresa al dejarnos sus datos y documentación. Además, descuidarla o desecharla de cualquier modo también supone que pueda caer en manos de la competencia.

    1. Hola Fermín, gracias por comentar.
      Efectivamente, cuando se utilizan los servicios de una empresa para la destrucción de la documentación tanto en soporte físico como electrónico, es muy importante elegir una empresa de calidad.
      Un saludo,
      Mayte

  4. APA Colegio el Castro

    Buenos días,

    ¿que debemos cumplir exactamente como AMPA? Recogemos datos personales a través de las inscripciones de la AMPA y también a través de la web.

    1. Debe cumplir con el RGPD exactamente igual que si fuera un negocio porque está tratando datos de terceros. Un saludo

  5. Hola! Lo primero agradecerte todo lo que ayudas a los usuarios, muchas gracias Mayte!! He leído en los comentarios de arriba que a partir del 25 de mayo, ya no hace falta dar de alta los ficheros, habrá que declararlo en el Documento de Seguridad y eso es algo que hay que tener ya. No me queda claro lo que es el Documento de Seguridad.
    ¿Se trata de tener una página en la web tipo “Política de privacidad” (del estilo de la de tu web) donde se especifique el responsable de los datos, explicando de qué forma se recopilan datos (a través de la newsletter, formulario de contacto, comentarios, etc), decir cuál es la empresa de hosting, de email marketing, etc o el Documento de Seguridad es otra cosa?
    También he leído arriba que hay que firmar un acuerdo de tratamiento de datos, pero esto, ¿quien lo ha de firmar? No lo he entendido. Muchas gracias 🙂

    1. Hola Ana, me alegro que os sirva 🙂
      El Documento de Seguridad es un documento interno donde se especifica cómo se protegen los datos que se manejan, qué medidas se adoptan, se incluyen las incidencias que pueda haber y cómo se solucionan, etc… No es un documento público, pero es lo primero que te pedirá la AEPD en caso de inspección.
      El acuerdo de tratamiento de datos se firma con los proveedores que tengamos contratados, lo firmas tú y el proveedor, y es para dejar claro qué puede hacer con los datos de tus usuario y clientes a los que tiene acceso.
      Saludos

  6. Hola Mayte, Qruiero pone una web de barcos de recreo y alguna vez querría hacer un especial de un modelo concreto. Imaginate que la marca de ese modelo me hace un precio promocional para mis usuarios y yo, con un cuadrito debajo del artículo, les pido que me dejen sus datos a los interesados (Tfno, mail, nombre…). ¿Que tendría que poner en mi política de datos de acuerdo a la nueva ley? Millones de gracias

    1. Hola Jesús,

      Todo depende de si es enlace de afiliado o si vas a enviarles información comercial de ello por email. Si es el primer caso tendrás indicar que la web dispone de enlace de afiliados en el aviso legal, y si es para enviar información comercial hay que indicarlo en la política de privacidad y en la finalidad que se indica en el texto de debajo del formulario.
      Saludos 🙂

      1. Hola tengo un negocio de flores y no tengo idea como redactar el texto de protección de datos y hacerlo legal

        1. Hola Juliana,
          Gracias por tu comentario 🙂
          Para saber cómo adaptar tu negocio a la protección de datos y redactar los textos legales tienes mi Curso LOPD donde te voy guiando paso a paso por todo el proceso y dispones de plantillas para facilitarte toda la tarea. Te dejo aquí el enlace a la página del curso por si quieres echarle un vistazo: https://legalidadonline.com/curso-proteccion-de-datos/
          O si lo prefieres también puedo realizar yo toda la gestión contratando el servicio de Adaptación a la LOPD y a la LSSI https://legalidadonline.com/adaptacion-rgpd/
          Si tienes alguna duda me dices 😉
          Un saludo

  7. ¿En el documento de seguridad se debe de especificar quienes tienen acceso y que este, esté firmado por ellos?
    ¿En el texto de la web tambien de debe de especificar estos mismos?.
    Gracias

    1. Hola Alejandro,
      Sí, debe quedar constancia de quién tiene acceso a los datos y tienen que firmar un acuerdo de tratamiento de datos, o un contrato de confidencialidad si es un trabajador.
      En los textos legales aparecerán los proveedores que tienen acceso a los datos.
      De nada 🙂

  8. Buenos días, y mil gracias por la información. Estoy muy despistada con lo de la necesidad de nombrar un delegado de protección de datos. En algunos sitios he leído que cualquier persona que tenga un sitio web debe nombrarlo; en otros sitios he leído que solo sin son datos sensibles a “gran escala”, etc. Entonces no lo tengo claro, y sería el fin de muchos emprendedores online por ejemplo del campo del bienestar que manejamos muy pocos datos. La verdad es que no lo tengo nada claro. Miraré tu curso y las tarifas de tus servicios. Muchas gracias.

    1. Hola María,
      Lo de nombrar un delegado de protección de datos, aún no lo ha establecido de manera clara, pero tiene que realizarse cuando se hace un seguimiento regular y sistemático de los interesados a gran escala, por lo que muy probablemente los negocios online van a tener que nombre uno. Esperemos que establezcan algún límite y sea cuando ya se tenga un volumen X de suscriptores. Iré informando de las decisiones que se vayan tomando para que todo el proceso sea lo más sencillo posible 😉
      Gracias a ti

  9. Muy bien explicado Mayte
    Según he entendido leyendo tu artículo, a partir del 25 de Mayo ya no será necesario incluir el fichero de datos en la AEPD. Entonces, habrá que sustituir ese fichero por un documento de seguridad propio ¿Qué debe contener ese documento? ¿Basta con un excel donde estén alojados los datos de los usuario o hay que hacer algo más concreto y exhaustivo?

    1. Hola Beatriz, muchas gracias 🙂
      Sí, a partir del 25 de mayo ya no será necesario dar de alta los ficheros, habrá que declararlo en el Documento de Seguridad, pero aún no se ha establecido concretamente cómo será. El Documento de Seguridad hay que tenerlo ya, cumplir con la protección de datos no es sólo dar de alta los ficheros.
      El Documento de Seguridad es el manual interno donde se establece el tipo de datos que se tratan (no es tener una lista de ellos), las medidas de seguridad que se toman para protegerlos, cuáles son los terceros que tienen acceso a esos datos, el acuerdo de tratamiento de datos que se han firmado con ellos, los dispositivos en los que se almacenan los datos (móvil, portátil, disco duro,..)
      El Documento de Seguridad es lo que te va a pedir la AEPD en caso e inspección, y ya era obligatorio antes de la reforma europea.
      Espero haber resuelto tu duda, aunque ahora me temo que tendrás más.

      1. Muchas gracias Mayte. Y que lo digas, ahora tengo más dudas. Pero voy a tratar de resolverlas poco a poco y si tengo algo muy gordo te consultaré. Por cierto, muy interesante tu blog.

        Veo que tienes un curso sobre esta temática. Imagino que como todavía no está definido cómo será el documento de seguridad tendrás que actualizarlo más adelante ¿Las actualizaciones se incluyen dentro del precio del curso?

        1. Claro, cualquier duda que tengas me dices 😉

          Respecto al curso, sí, lo voy actualizando con las novedades que vayan saliendo, y como siempre se tiene acceso a él, están incluidas en el precio, incluso las que vengan más adelante.

  10. Ok, creo que no lo tiene, que me sale lo que a cualquier persona externa. Seguiré investigando a ver para asegurarme al 100%

    Muchas gracias

    1. Lucía, tienes formulario de contacto o tu blog o te pueden dejar un comentario o se pueden suscribir a tu newsletter?
      Si es así no sigas investigando, debes cumplir con la ley de protección de datos.
      Si quieres puedes indicarme tu blog por aquí y por privado (a través del formulario de contacto) y te lo confirmo para que esté segura.
      Un saludo

  11. Hola, tengo un blog en Blogger sobre literatura. ¿El hablar de algún autor o hacer una entrevista a ese autor (esto segundo en un hipótetico caso) también entraría en la ley de protección de datos? Muchas gracias, ando un poco perdida en todo esto, ya que siempre he tenido blogs y no sabía de estas cosas, como también daba por hecho que al ser una plataforma de blogs, ese tipo de “cosas”las llevaban ellos.
    ¿Si actualmente no ofrezco ningún servicio en el que dependa el uso de datos debo apuntarme a la ley de protección de datos por si en un futuro lo necesitase?
    Gracias de antemano

    1. Hola Lucía, la Ley de protección de datos debes cumplirla en el caso que al dejarte un comentario en tu blog sepas el email del usuario que lo ha dejado, si tienes un formulario de contacto o de suscripción ya debes cumplir la ley también. No importa que no vendas nada ni obtengas ingresos con tu blog.
      Las plataformas de blogs no se encargan de hacer que cumplas con la legislación, eso es tarea tuya.
      Si no tienes acceso a datos personales por los medios que te he indicado no te tienes que preocupar de la protección de datos.
      Espero haber resuelto tu duda.
      Un saludo

  12. Hola Mayte. Darte las gracias públicamente por aportarnos toda la información necesaria para tener un blog adecuado y en orden. Eres una gran abogada. Un saludo Jenifer

    1. Muchas gracias Jenifer, me alegra que el blog os sea de utilidad 🙂
      Un saludo

  13. Hola.
    Y si tengo un blog en blogger y no tengo ningun programa externo que envia emails? Uso el formulario de blogger que solo envia nuevos post cuando salen…nada mas. Ni se quien esta apuntado, sera el Google que recopila estos datos, cookies, etc…
    Aun asi tengo que dar de alta en AEPD este?

    Un saludo.

    1. Mayte de Beka

      Hola Olga,
      Si tú no conoces los emails de los suscriptores, y si no tienes un formulario de contacto, y tampoco conoces el email de quien te deja un comentario en un blog entonces no tienes que cumplir con la protección no datos, y no tendrías que dar de alta ficheros en la AEPD.
      Espero haberte resuelto tu duda.
      Un saludo

Comments are closed.

error: Content is protected !!