Si tienes un negocio online muy probablemente no estés cumpliendo con la normativa legal, bien por desconocimiento o bien porque pienses que no te va a pasar nada, pero las cosas están cambiando, y en materia de protección de datos, la Unión Europea ha armonizado la normativa entre todos los países, y te recomiendo (quien advierte no es traidor), que desde el 25 de mayo de 2018 desde cumplir  el RGPD, pues cada vez hay más conciencia en la protección de los datos, tanto por parte del Gobierno como de los usuarios y las sanciones son más cuantiosas y probables que suceden, más aún porque ahora el usuario puede pedir una indemnización .

Así que para que puedas dormir tranquilo y no tener que pagar sanciones de hasta 4 millones de euros, no te vayas y sigue leyendo, porque voy a explicarte cómo adaptar tu negocio online al RGPD.

Tranquilidad, que es más fácil de lo que parece.

 

¿Debo cumplir con el RGPD si no gano nada con mi negocio?

No hay día que no reciba esta consulta en mi email, algo muy comprensible, pues es difícil imaginar que si tu negocio no está siendo aún monetizado, o lo que tienes es un blog personal que no monetizas, tengas que cumplir con la ley. Nuestra mentalidad suele asociar cumplir con la ley, a tener un negocio o a ganar dinero.

Pero para que puedas entenderlo mejor, la ley de protección de datos, lo que protege son los datos de los particulares, sin importar quién los recopile, es decir, no importa que quien los recopiles sea un particular. De ahí que las Comunidades de Propietarios también deben cumplir esta ley, y tampoco son un negocio (no estoy hablando del Administrador de fincas, me refiero a la Comunidad en sí).

¿Y que son los datos de los particulares? Pues el nombre y el email lo son, por tanto, si tienes un formulario de contacto o de suscripción, pueden dejar comentarios en tu blog donde tú tengas acceso a su email,…. ya tienes que cumplir con la ley de protección de datos. Así que mejor que sigas leyendo, que seguro que ya te ibas a ir porque pensabas que este «rollo» no iba contigo.

Además, debes tener en cuenta que aunque tu negocio no se encuentre en un país de la Unión Europea, si tienes usuarios de estos países, igualmente tendrás que cumplir el RGPD.

 

 

Qué es el Reglamento General de Protección de Datos

Ya que sabes que debes cumplirlo, lo primero es ponernos en situación y te voy a explicar qué es el Reglamento de Protección de Datos.

Se trata de la normativa europa que regula de manera igualitaria cómo se deben tratar los datos personales, ya que no era “justo” que un negocio, por ejemplo ubicado en Alemania, pudiera tratar esos datos con más libertad que uno que se ubicara en España.

Es por ello que decidieron unificar la normativa, protegiendo aún más al usuario, dándole el control de sus datos.

Ahora lo importante es la prevención, es decir, tomar las medidas necesarias para evitar que exista fuga de datos.

 

Qué consecuencias tiene no cumplir el RGPD en tu negocio online

Pues la consecuencia más obvia es la sanción económica a la que te estás exponiendo. Ya no vamos a hablar de los 4 millones de euros, que es para grandes empresas por el volumen de datos que manejan, ¿pero qué le pasaría a tu negocio si tiene que pagar una sanción de 10.000 €? (y estoy tirado por lo bajo…).

Imagino que como mí, pues me hundiría el negocio. Y además, ahora es más fácil que te denuncien, porque el control lo tienen los usuarios, y pueden pedirte una indemnización si no cuidas sus datos. Así que ya sabes, tienes que cumplir la normativa que hay mucho oportunista, incluso tu propia competencia.

Es mejor cubrirse las espaldas.

Porque además, otra de las consecuencias de no cumplir con el RGPD es que no das una imagen profesional, y los usuarios ya se fijan mucho en cómo una empresa va a tratar sus datos. Las cosas están cambiando, porque ya conocen sus derechos el valor que tiene sus datos. Cuidalos.

 

Cómo adaptar tu negocio al RGPD paso a paso

Hay mucha información en internet sobre cómo adaptar tu negocio al RGPD, pero es muy confuso y además incompleto, por lo que al final se termina más liado de lo que se estaba.

¿Me equivoco?

Por ello te voy a indicar aquí paso a paso (y por orden de actuación) qué es lo que hay que hacer. Al fin lo vas a tener todo claro 😉

 

Análisis de riesgo

Lo primero que tenemos que hacer, unido con el paso siguiente, es un análisis de riesgo, que será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. Se analizarán cuestiones como las siguientes y cuantas más respuestas afirmativas, mayor será el riesgo que podría derivarse de dicho tratamiento. Estas podrían ser algunas cuestiones:

  • ¿Se tratan datos sensibles?
  • ¿Se incluyen datos de una gran cantidad de personas?
  • ¿Incluye el tratamiento elaboración de perfiles?
  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?

En definitiva es valorar si hay posibilidades de que esos datos se pierdan, los roben, podamos borrarlos,….

 

Registro de actividades de tratamiento de datos

Como ya te comentaba está relacionado con el anterior y consiste en especificar con todo detalle el tratamiento de datos que se va a realizar.

Es un documento interno donde se va especificar los siguientes datos:

  • Quién es el responsable y el Delegado de Protección de Datos si se requiere.
  • Qué datos se recogen, con qué finalidad, quiénes son los interesados y las categorías de datos personales.
  • A quién se va a transferir y ceder los datos.
  • Qué medidas técnicas y organizativas se van a aplicar para asegurar los datos que se tratan.

 

Es el momento de apuntar todos los proveedores/herramientas con las que trabajan y comprobar que realmente cumplen con la protección de datos. Si no es así, tenemos que cambiarlas.

Yo, por ejemplo, utilizo MailChimp para mis campañas de email marketing, y el hosting Raiola Network, porque cumplen la normativa.

Tendrás que hacer lo mismo con la plataforma donde tienes tus infoproductos,  herramienta de facturación, plugin, chat, … y por supuesto, los colaboradores con los que trabajas: asistente virtual, gestor fiscal,…

 

Medidas de seguridad

Y una vez que tenga bien claro los riesgos que existen en el tratamiento de los datos, tendrás que establecer las medidas de seguridad que vas a adoptar para que las posibilidades de que el riesgo se produzca sean las mínimas.

Irán incluidas también en el registro de actividades de tratamiento de datos, que hace las funciones del anterior Documento de Seguridad.

No olvides que esta documentación tiene que estar siempre actualizada, ya que es lo que va a solicitarle la Agencia Española de Protección de Datos en caso de inspección.

 

 

Adaptación de la web

 

Formularios de contacto, suscripción y comentarios

Seguro que es la parte que más has escuchado (incluso la única), tienes que adaptar los formularios de tu web. Tanto el formulario de contacto,  como el de suscripción y los comentarios. En definitiva, donde recopiles datos de los usuarios.

Este punto es muy importante tras la nueva normativa, pues tú eres el que debes probar que realmente te ha dado su consentimiento.

Incluye una casilla para marcar, con un enlace a la política de privacidad de tu blog/web (luego te explico esta parte). El conocido checkbox.

No olvides desmarcar la casilla, porque sino no se sería un consentimiento expreso.

Además, ahora tienes que incluir una primera capa (como ya pasaba con la política de cookies) donde vas a mostrar la información básica del tratamiento de datos. Sería algo así, pero adaptado a tu caso, claro:

Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Mayte Velasco Cañavate, con la finalidad de atender su solicitud y de enviarte mis publicaciones, promociones de productos y/o servicios, si ha marcado esta última opción.  La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podré atender su solicitud. Puedes consultar mi política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en hola@legalidadonline.com.

Los datos que me facilites serán ubicados en los servidores de Mailrelay (mi proveedor de email marketing), ubicada dentro de la UE, y cuya política de privacidad puede consultar.

Y no olvides el doble opt in, que el usuario tenga que confirmar en su email que se ha suscrito a tu blog o web.

 

Textos legales

Debes revisar tus cláusulas legales (si las tienes, si no tienes que redactarlas) para que reflejen los datos que estás recogiendo, para qué los vas a utilizar y si vas a cederlos o no a un tercero.

Tienes que identificar al responsable de la gestión de los datos (lo normal es que seas tú), y si existe, los datos del delegado de protección de datos. Igualmente tienes que indicar quienes son destinatarios de los datos: hosting que utilizas, plataforma de email marketing, servicio de captación de leads,…

Además tendrás que indicar el plazo por el que se recopilan estos datos o los criterios utilizados para fijar ese plazo. Lo que te obligará a hacer limpiezas periódicas en tus suscriptores.

Así que, se acabó el “copia y pega” de los textos legales de otras páginas que poco tienen que ver con la tuya. Cada blog tiene sus particularidades.

 

Crea políticas de privacidad que inviten a leerlas, acordes con el tono de tu #blog Clic para tuitear

 

Si cambias alguno de los proveedores, no olvides modificarlos.

Te hablo más detalladamente de este aspecto en el post de cómo hacer los textos legales de tu web.

 

 

Contratos encargados de tratamiento de datos

En el día a día de tu negocio trabajas con proveedores/colaboradores que tienen acceso a datos de tus usuario y clientes, como puede ser el webmaster, el asesor fiscal, el hosting, el proveedor de email marketing,… Y con ellos deberás firmar un acuerdo de tratamiento de datos y asegurarte que están cumpliendo con el RGPD.

Si no lo haces así, tú tampoco estarás cumpliendo con la normativa. Ahora somos responsables de elegir a los colaboradores con los que trabajamos.

La mejor manera de comprobar que cumplen la normativa, sobre todo si es una pequeña empresa, es solicitarles que incluyan el registro de tratamiento en el acuerdo que vais a firmar.

Si no tiene este registro de tratamiento, significa que no está cumpliendo la normativa.

 

No te agobies con el #RGPD, con mi curso de protección de datos te enseño paso a paso cómo adaptar tu negocio. Clic para tuitear

 

 

Conclusión

No creo que tengas ya dudas en cumplir con el RGPD. En internet te cruzas a diario con potenciales clientes, y seguro que trabajas duro para poder vivir de tu negocio online, no permitas que una sanción por no tratar correctamente los datos termine con tu sueño.

 

Y aunque te parezca muy complicado todos los pasos que te he contado, te aseguro que no lo es, es entretenido, pero estoy segura podrás hacerlo. Para ayudarte, he creado el Curso de Protección de Datos para negocios online, donde te voy guiando por todos los pasos que debes hacer para cumplir con la nueva ley de protección de datos. Incluyendo todas las plantillas que vas a necesitar para facilitarte al máximo la tarea.

 

Pero si prefieres delegar esta parte de tu negocio, también puedes contratar el servicio de Adaptación a la LOPD y a la LSSI.

 

¿Tienes ya tu negocio adaptado al RGPD? ¿Conocías todos los aspectos que debes cumplir? ¿Tienes alguna duda?

Te espero en los comentarios.

[Total:1    Promedio:5/5]

¡NO TE VAYAS AÚN!

Recibe GRATIS la Guía Legal donde te explico todos los aspectos legales que debes cumplir en tu negocio online.