ACTUALIZADO A 2020

 

Si tienes un negocio muy probablemente no estás cumpliendo con la protección de datos, bien por desconocimiento o porque piensas que no te va a pasar nada, pero las cosas están cambiando, y en materia de protección de datos, la Unión Europea ha armonizado la normativa entre todos los países, y se han puesto muchos más estricto. Además, los usuarios ya se preocupan de comprobar si se protegen sus datos.

Y no pienses que por poner los textos legales en tu web y un checkbox en los formularios para que acepten la política de privacidad ya estás cubierto, cumplir con la protección de datos es mucho más, y en este post te lo voy a explicar paso a paso. porque no es tan complicado como parece.

Te preocupas por tener un negocio rentable, y eso supone también preocuparte por proteger los datos de tus clientes y usuarios, ya que transmite profesionalidad y confianza, a parte de evitarte importante sanciones económicas.

 

¿Qué es la protección de datos?

 

Es una normativa que regula la forma en la que puedes tratar los datos de terceros.

Desde mayo de 2018 esta regulación es igual en toda la Unión Europea, dándole un mayor control a los usuarios del uso que se hacen de sus datos.

 

¿Cuándo tienes que cumplir con la protección de datos?

 

Tendrás que cumplir con la protección de datos siempre que trates datos de terceros, sin importar si aún ganas dinero con tu negocio o no.

Incluso si tienes un blog personal donde hablas de tus vivencias y que no monetizas, también tienes que cumplir esta normativa, ya que no se considera que sea de uso doméstico porque es público al estar en internet.

Es decir, tú debes cumplir con el RGPD:

  • Recoges cualquier tipo de dato de visitantes de tu web (como la dirección IP que recoge Google Analytics).
  • Vendes productos, infoproductos, formación o servicios.
  • Tienes un formulario de contacto en tu web o tienes habilitados los comentarios en tus posts.
  • Tienes un formulario de suscripción.

Además, debes tener en cuenta que aunque tu negocio no se encuentre en un país de la Unión Europea, si tienes usuarios de estos países, igualmente tendrás que cumplir con el RGPD.

 

 

Consecuencias de no cumplir con la protección de datos en tu negocio creativo

✯ No dar una imagen profesional

 

Es el motivo principal por el que tu negocio creativo debe cumplir con la protección de datos, ya que cada vez más los usuarios se preocupan en cómo un negocio va a tratar sus datos.

¿Crees que un cliente que tiene unos valores éticos y de sostenibilidad no se va a fijar en que la empresa a la que va a comprar también se preocupa en proteger sus datos? 

Tus clientes potenciales conocen sus derechos.

Cumplir con la protección de datos muestra profesionalidad, pero también un trabajo ético.

 

 

✯ Proteger un activo muy importante de tu negocio

 

Ya sabes el valor que tiene para tu negocio los datos de los usuarios de tu web, de tus suscriptores y de tus clientes, y por ello es importante que los protejas.

¿O quieres que tu competencia pueda hacer uso de ellos si te hackean tu cuenta de email marketing o tu web?

Toma las medidas de seguridad necesarias para protegerlos.

 

 

✯ Sanciones

 

No es el motivo por el que debes cumplir con la protección de datos, pero sí el único que hace que algunos negocios sí cumplan con la normativa.

Sé lo que estás pensando….

“Pero si yo no soy un gran negocio, cómo me van a sancionar? Ni saben que existo

 

La AEPD no está pendiente de quién cumple o no, pero denunciarte es muy sencillo, e incluso tu propia competencia lo puede hacer, porque además las denuncias son anónimas.

Entran en tu web, ven que no cumples con la LOPD, hacen una captura de pantalla y se la envían  la AEPD. Así de sencillo.

Tras la recibir la reclamación, la AEPD se pone a investigar y visitará tu web. Y entonces, podrá archivar la causa, avisarte que tienes que ponerte al día en la protección de datos o sancionarte directamente

Y sí hay sanciones a web como la tuya.

En la web de la AEPD puedes ver todas las resoluciones, ya que son públicas.

Por cierto, la Junta de Andalucía sí está controlando los ecommerce que no cumplen con la normativa.

 

 

Cómo cumplir con la ley de protección de datos (paso a paso)

 

Hay mucha información en internet sobre cómo cumplir con la lopd, pero es muy confuso y además incompleto, por lo que al final terminas más liado o liada de lo que estabas en un principio.

¿A que es así? Y al final desistes, y lo dejas para otro día, mientras sigues sin cumplir con la protección de datos en tu negocio…

Por ello te voy a indicar paso a paso, qué es lo que tienes que hacer, para que al fin lo tengas claro 😉

 

 

✯ Textos legales

 

Desde el momento que obtengas ingresos con tu blog por publicidad o enlaces de afiliados ya tienes que cumplir la LSSI (Ley  de Servicios de la Sociedad de la Información y del Comercio Electrónico), aunque en parte también está relacionada con la LOPD.

Por tanto, tendrás que incluir los siguientes textos legales en tu web:

  • Aviso legal
  • Política de cookies
  • Política de privacidad
  • Condiciones de venta o de contratación

 

Deben estar siempre visible, desde cualquier página, por eso lo recomendable es ponerlo en el footer a pie de página, pero también pueden estar en la parte de arriba de tu web.

No olvides tenerlos siempre actualizados, por ejemplo si cambias de proveedor de hosting, tienes que modificarlo.

Crea textos legales que inviten a leerlos, siguiendo el tono de tu negocio.

En el post Cómo hacer los textos legales de tu web te cuento qué es lo que debe contener cada uno de ellos.

 

 

✯ Cuidado con las cookies

 

En relación al popup de las cookies, es muy importante que utilices un plugin que realmente bloquee las cookies hasta que el usuario las acepte, ya que ya ha habido sanciones por no ser así.

Te recomiendo plugin como Cookiebot, GDPR Cookie Compliance o GDPR Cookie Consent, que cumplen con esta función.

 

 

 

 

✯ Adaptar los formularios de la web

 

En todos los formularios que tengas en tu web estás recopilando datos, y para que este tratamiento sea válido tiene que tener un consentimiento expreso que se consigue cumpliendo con el deber de informar, es decir:

  • Incluir un checkbox enlazando a la política de privacidad, para el usuario tenga que aceptarla, entendiéndose así que da su consentimiento. Es por ello que no puede estar premarcado.

 

  • Y para que ese consentimiento sea válido, es necesario que sepa a qué está dando su consentimiento, es por ello que hay que incluir la coletilla legal donde se incluye la información básica del tratamiento de los datos.

 

Te pongo el ejemplo del formulario de contacto de mi web:

Formulario de suscripción adaptado al RGPD

No olvides adaptar cada uno de los formularios: 

    ✔︎ Suscripción

    ✔︎ Contacto

    ✔︎ Comentarios

    ✔︎ Venta

    ✔︎ Suscripción a webinar

    ✔︎ ….

Y recuerda que cada uno de ellos tienes una coletilla legal diferente, acorde a la finalidad de cada uno de ellos.

 

 

✯ Adapta la documentación de tu negocio

 

Pero no solo hay que informar en la web sobre el tratamiento de datos que se hace, sino también en la documentación de tu negocio. 

Es por ello que también tienes que incluir la coletilla legal correspondiente en:

    ✔︎ Las newsletters que envías a tus suscriptores

    ✔︎ A pie de cada email corporativo

    ✔︎ En los presupuestos

    ✔︎ En las facturas

 

 

 

✯ Los encargados de tratamiento de datos

 

Desde la entrada en vigor del RGPD en mayo de 2018, es importante que te preocupes por trabajar con proveedores que cumplen con la normativa en materia de protección de datos, ya que si no lo haces, estarás poniendo en riesgo los datos que tratas, y por ello no cumpliendo tampoco con la protección de datos.

Además, debes firmar un acuerdo de encargado de tratamiento de datos con cada uno de los proveedores dejando claro cómo deben tratar esos datos a los que tienen acceso.

Algunos de los proveedores con los que trabajes pueden que ya tengan su propio acuerdo (DPA) listo para que te lo descargues directamente, como es el caso de Mailchimp, o lo incluye en sus condiciones de contratación.

Ambos casos son igualmente válidos.

Estos documentos tienes que guardarlos en tu carpeta de LOPD por si en algún momento tienes una inspección de la Agencia Española de Protección de Datos.

 

 

✯ El registro de actividades de tratamiento (en sustitución al alta de ficheros en la AEPD) (RAT)

 

Este documento es la base de toda la gestión de la protección de datos de tu negocio, y sustituye el alta de ficheros en la AEPD.

En él es donde vas a indicar de forma detallada los tratamientos de datos que vas a realizar: usuarios de la web y suscriptores, alumnos, clientes, proveedores, videovigilancia, empleados,….

Tendrás que especificar los siguientes datos:

  • Quién es el responsable y el Delegado de Protección de Datos si se requiere.
  • Qué datos se recogen, con qué finalidad, quiénes son los interesados y las categorías de datos personales.
  • A quién se va a transferir y ceder los datos.
  • Qué medidas técnicas y organizativas se van a aplicar para asegurar los datos que se tratan.

 

 

 

✯ Hacer un análisis de riesgo y evaluación de impacto

 

Una vez que tienes redactado los registros de tratamiento de datos, tendrás que redactar el análisis de riesgo, que es el resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. 

Tendrás que valorar:

  • ¿Se tratan datos sensibles?
  • ¿Se incluyen datos de una gran cantidad de personas?
  • ¿Incluye el tratamiento elaboración de perfiles?
  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?

 

En definitiva es valorar si hay posibilidades de que esos datos se pierdan, los roben, podamos borrarlos,….

 

 

✯ Medidas de seguridad

 

Porque según los posibles riesgos que hayas detectado en el análisis de riesgo, vas a indicar las medidas de seguridad que vas a adoptar para que las posibilidades de que el riesgo se produzca sean las mínimas, o que cause el menor de los problemas posibles.

Por ejemplo, si te roban un dispositivo móvil donde almacenas datos, como puede ser acceso al email, al Google Drive, etc…. ten establecido un sistema para poder borrar la documentación en remoto o cancelar su acceso desde ese dispositivo.  

 

 

✯ Establece un protocolo de ejercicios de derechos ARSO

 

También tendrás que establecer los pasos a seguir cuando un usuario o cliente solicite ejercitar su derecho ARSO, como puede ser eliminar sus datos, corregirlos, portarlos, etc….

Tienes que responder siempre en el plazo de 10 días, aunque no disponga de ningún dato de esa persona.

 

 

✯ Ten un protocolo en caso de brechas de seguridad

 

Por último, establece cómo actuar en caso de producirse una brecha de seguridad,  como puede ser el borrado de datos, filtración de base de datos, hackeo de la web, pérdida de pendrive con datos del negocio,….

En 72 horas, según el caso, tendrás que notificar a la AEPD.

Todo debe quedar por escrito.

 

No olvides que todo esta documentación interna tiene que estar siempre actualizada, ya que es lo que va a solicitarle la Agencia Española de Protección de Datos en caso de inspección.

 

 

Opciones para cumplir con la protección de datos

 

Seguramente te parezca una locura poder cumplir realmente con la protección de datos, pero no te preocupes que te traigo dos soluciones para que al fin estés tranquilo o tranquila cumpliendo con la LOPD y LSSI.

 

 

✯ Delega esta tarea contratando los servicios de un profesional

 

Puedes contratar mi servicio de Adaptación a la LOPD y a la LSSI donde yo hago todo el trabajo por ti y te doy todas las pautas para que luego puedas mantenerla siempre actualizada.

Al finalizar, te entrego un manual donde te indico qué hacer en cada situación y cómo poder probar ante la AEPD que mantienes la documentación actualizada.

 

 

✯ Márcate un DIY

 

Y si prefieres hacer tú mismo/a la adaptación a la protección y a la LSSI, bien porque prefieres controlar bien toda esta materia o porque estás empezando y no puedes contratar el servicio de un profesional, he creado el Curso de Protección de Datos para negocios online, donde te voy guiando paso a paso por todos los puntos que te he indicado anteriormente. Además, incluye las plantilla de toda la documentación que vas a necesitar, para hacerte la tarea muy sencilla.

 

 

¿Tienes ya tu negocio adaptado al RGPD? ¿Conocías todos los aspectos que debes cumplir? Es hora de pasar a la acción.

Te espero en los comentarios si tienes alguna duda.

 

Recuerda compartir este post en tus redes sociales, estarás ayudando a tus compis emprendedores  

¡NO TE VAYAS AÚN!

Recibe GRATIS la Guía Legal donde te explico todos los aspectos legales que debes cumplir en tu negocio online.