Cómo obtener el consentimiento expreso en tu web

Queda menos de un mes para que sea de aplicación el RGPD, la normativa europea de materia de protección de datos, y aún hay muchas webs que ni siquiera tienen adaptados sus formularios a esta normativa porque bien el proveedor de email marketing o el plugin aún lo permite, no pudiendo así tener el consentimiento expreso del usuario que se suscribe.

Es justo lo que me pasaba a mí hasta este fin de semana, pero gracias a Roberto García, consultor Membership Sites, ya tengo mi web 100% adaptada, y he comenzado a actualizar mi lista de suscriptores.

Y para que no te pase a ti lo mismo, hemos creado este post en colaboración donde Roberto te va a explicar la parte técnica, y yo la parte teórica, para que cuando llegue el 25 de mayo tu web esté lista.

Se han incluido los proveedores que de momento dejan crear formularios 100% adaptados al RGPD. Iremos actualizando el post.

¡Vamos allá!

 

CÓMO OBTENER EL CONSENTIMIENTO EXPRESO EN TU WEB

¿Qué es el consentimiento expreso?

Voy a comenzar explicando qué es el consentimiento expreso y por qué es tan diferente de lo que veníamos haciendo hasta ahora.

El consentimiento expreso es la acción inequívoca del usuario aceptando suscribirse, o aceptando que contactes o que le envíes información comercial. Y este hecho se traduce técnicamente hablando, en tener que seleccionar el checkbox de aceptación de la política de privacidad.

Pero además tienes que poder almacenar el consentimiento del usuario para poder demostrarlo en caso de denuncia. No vaya a ser que a algún suscriptor se le olvide que se suscribió y decida denunciarte ante la AEPD, sobre todo ahora que pueden pedir indemnización.

Hasta ahora lo que teníamos (y en la mayoría de los casos seguimos teniendo) es el consentimiento tácito. La ley entendía que si dejaba los datos era porque aceptaba que le enviaras la información.

Como ves es un cambio bastante importante.

El email de confirmación que te envié el proveedor de email marketing, y que debes guardar como prueba, tiene que indicar los datos que confirmen la validez de los consentimientos, como es la fecha en que se otorga, la IP, el email y la web desde dónde se suscriben.

Este es el ejemplo perfecto de la confirmación que se recibe de MailChimp:

Consentimiento expreso en el RGPD

 

Información básica del tratamiento de datos para obtener el consentimiento expreso

Pero para que el consentimiento se considera expreso, aparte de realizar la acción de clicar el checkbox, el usuario también debe conocer PREVIAMENTE el tratamiento que se le va a dar a sus datos, es decir, quién va a tener acceso a ellos y con qué finalidad.

Para ello tendremos que indicar esta información en una leyenda en el formulario de suscripción similar a este. Puedes dar la información con tus palabras, pero sin olvidar ninguno de los datos:

Te informo que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por mí, (tu nombre completo), como responsable de esta web. Con la finalidad de gestionar el alta a esta suscripción y remitir boletines periódicos con información y oferta prospectiva de productos o servicios propios y de terceros afiliados. Legitimación: Consentimiento del interesado. Destinatarios: Mailchimp. Puedes consultar aquí su política de privacidad Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en hola@legalidadonline.com así como el derecho a presentar una reclamación ante una autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de Datos en mi política de privacidad

Os dejo el ejemplo de cómo lo tengo yo puesto en mi web:

Formulario de suscripción adaptado al RGPD

SOLUCIONES TÉCNICAS PARA INCLUIR EL CHECKBOX EN NUESTRA WEB

Una vez que sabemos la parte teórica, nos encontramos con la dificultad de ponerlo en práctica, pero Roberto, nos va a explicar cómo debemos hacer este proceso en los proveedores que de momento lo permiten.

Sin su ayuda yo aún estaría mareada intentando poner mis formularios correctamente para cumplir con el RGPD y poder actualizar mi lista de suscriptores.

 

MailChimp

Este es mi actual proveedor de email marketing, y como os he comentado me estaba volviendo loca para poder poner el checkbox y la información básica del tratamiento de datos de manera correcta.

Antes ya tenía el checkbox (usaba MailRelay), pero no dejaba rastro para poder demostrar que realmente me había dado el consentimiento, por lo que en realidad de poco valía. Además, el email de confirmación que envían no incluía la información necesaria que luego me pudiera servir de prueba para certificar el consentimiento.

Os dejo aquí el tutorial para que en el caso que también utilices MailChimp, no tengas ningún problema en adaptar tu formulario. Es muy sencillo de seguir, Roberto lo explica de forma muy clara.

La verdad que  MailChimp se ha puesto bien las pilas para cumplir con el RGPD. Yo era anti-Mailchimp, no me gustaba nada, pero por culpa de Elsa López y su academia Dale al Mono, ahora me encanta.

 

Active Campaign

Otra de las opciones que muchos utilizáis es Active Campaign, y aquí tenéis el taller de cómo configurarlo para obtener el consentimiento expreso.

 

Desde luego Roberto ha hecho un increíble trabajo con estos tutoriales, pues al fin vamos a tener unos formularios en nuestra web que cumplen con el RGPD.

Cuando otras plataformas se vayan adaptando a la normativa lo iremos incluyendo aquí con nuevos tutoriales.

Ahora te toca ponerlo en práctica, adaptar los textos legales de tu web a la nueva normativa, y comenzar a actualizar tu lista de suscriptores.

Pero no olvides, que esta es sólo una parte para realmente cumplir con la protección de datos en tu negocio online.

Te recomiendo unirte al grupo de Facebook de Roberto Memberships Mastermind porque comparte información de muchísima información. Al igual que en su podcast, ¡no dejes de escucharlo!

¿Cómo hacer email marketing legal?

Todos los que tenemos un negocio online sabemos lo importante que es el email marketing, pero ¿haces un email marketing legal?

Sí, también hay unos aspectos legales que cumplir cuando envías newsletters a tus suscriptores, y es raro el emprendedor online que lo cumple. Así que hoy te voy a contar cuáles son los puntos que debes tener en cuenta para que no seas uno de ellos, y no puedan sancionarte.


No te asustes, estás a tiempo para solucionarlo pero debes hacerlo cuanto antes.

 

Checklist para una estrategia de email marketing legal

Dar de alta los ficheros en la Agencia Española de Protección de Datos

Bueno, en general es cumplir con la protección de datos en tu negocio online, que ya os digo muchas veces que no es sólo este paso, pero voy a especificar concretamente en este post qué aspectos legales afectan a tu estrategia de email marketing sin diferenciar a qué materia pertenece.

Por tanto, como estás gestionando datos de tus usuarios, no dejes de dar de alta los ficheros en la Agencia Española de Protección de Datos. Aunque este punto desaparecerá a partir del 25 de mayo de 2018. Ya te informaré de ello.

Mientras tanto, te explico cómo dar de alta los ficheros en la AEPD.

 

Firmar acuerdo de encargado de tratamiento de datos con el proveedor de email marketing

Como ya te comenté, es uno de los errores que se cometen en relación a la protección de datos de un negocio online.

No debes olvidar, que tus proveedores suelen tener acceso a los datos que tú manejas, y uno de ellos es la plataforma de email marketing, por lo que no dejes de firmar el acuerdo que te garantices que el uso que van a hacer de esos datos es el que tú les diga, no pudiendo almacenarlos para ellos en ningún momento.

A partir de mayo de 2018, con la entrada en vigor de la normativa europea, también tendrás que asegurarte que cumplen con la protección de datos, no bastará con firmar el acuerdo.

Elegir plataforma de email marketing que cumpla con la protección de datos

Por eso, elige siempre proveedores españoles o europeos, o por lo menos asegúrate que cumplen la normativa realmente.

Yo actualmente utilizo MailRelay para enviarte las newsletter. Cuido que tus datos estén a salvo.

 

Tener autorización

Es un punto esencial, el principio de todo, ya que si no te han autorizado a que les envíes comunicaciones, no podrás hacerlo o pueden sancionarte económicamente.

En el caso de que ya sean tus clientes, sí puedes enviar información de productos y/o servicios que sean similares a el/los adquirió.

La AEPD considera que es “envio masivo” remitir sin su consentimiento un mismo mensaje a más de 3 destinatarios, y enviar a un mismo destinatario 3 emails en el período de 1 año.

Se considera una infracción grave.

 

Formulario de suscripción donde quede constancia que han autorizado

Por eso, pon un formulario de contacto en el que quede constancia que te han dado la autorización y para qué te la han dado.

Pon un checkbox enlazado a la política de privacidad, donde expresamente se establezca que está aceptando el envío de promociones sobre tus servicios y productos. Vamos, que no simplemente se suscribe a que le informes cuando publicas un artículo en tu blog.

Identifícate en cada envío

En cada email que envíes debe quedar constancia de quién eres, los datos de la empresa, o sea, tus datos si eres autónomo. Sí, incluida la dirección.

 

Poner opción de desuscripción

No olvides facilitar que puedan desuscribirse cuando quieras, porque además de ser obligatorio, tendrás una lista de suscriptores que realmente le interesa lo que haces y ofreces.

Ah, y no olvides comprobar que funcione.

 

Utiliza el campo CCO (copia oculta)

Y por último, si vas a enviar un email a varios remites, aunque sea para realizar una consulta común a varios proveedores, nunca nunca nunca, pongas las direcciones sin copia oculta.

Utiliza el CCO. Evitarás sanciones cómo esta.

Si cumples todos estos puntos, es que realmente estás haciendo un email marketing legal. Si no es así, ponte en marcha para cumplir cada uno de ellos. Es muy importante respetar los derechos de los usuarios.

 

¿Habías tenido en cuenta estos aspectos en tu estrategia de email marketing?

Si tienes alguna duda te espero en los comentarios para resolverla 

 

 

Recuerda compartir este post en tus redes sociales, estarás ayudando a tus compis emprendedores online 

Qué errores estás cometiendo con la protección de datos en tu negocio online

Muchos negocios online, bien sea un blog-web o una tienda online, piensan que no tienen que cumplir con la ley de protección de datos, o que es algo tan sencillo como dar de alta un fichero en la Agencia Española de Protección de Datos.

Estás muy equivocados/as, porque no es tan sencillo como eso, hay más pasos que dar, y no se hace en un momento.

Y como no quiero que te tengas una sanción que ni vas a poder pagar, te voy a explicar en este post los errores que estás cometiendo con la protección de datos en tu negocio online, para que los corrijas o que no te engañen si vas a contratar una servicio de adaptación a la LOPD.

¡Comenzamos!

 

No tienes que cumplir con la LOPD

Este es el primer error que comenten muchos bloggeros, sobre todo cuando apenas tienen algún ingreso por publicidad.

Pero debes saber que aunque tengas un blog personal, que no monetizas, si tienes un formulario de contacto o pueden dejarte comentarios en los post, ya tienes que cumplir con la LOPD porque estás recogiendo datos.

Evidentemente las sanciones no van a ser las mismas que si tienes un negocio online, pero igualmente te van a resultar muy elevadas, porque sólo con no tener dado de alta un fichero en la AEPD (Agencia Española de Protección de Datos) son 600 €.

 

Piensas que sólo hay que dar de alta los ficheros en la AEPD

¡Qué de veces he leído y oído! Bah, eso es muy fácil, solo tienes que dar de alta los ficheros en la Agencia Española de Protección de Datos.

Pues siento que decirte que no, que ese es sólo uno de los pasos, el más visible, pero sólo uno de los pasos.

Sería aparentar que cumples con la LOPD, pero si tienes una inspección de la AEPD, te van a sancionar igualmente, sólo te librarás de la sanción de no dar de alta los ficheros, pero por el resto de pasos no te libras.

 

No tener redactado y actualizado el Documento de Seguridad

Seguro que ni sabes lo que es, pero te aviso que es lo primero que te va a pedir la Agencia Española de Protección de Datos en caso de inspección.

Es el manual interno de actuación para proteger los datos de los usuarios tu negocio. En él vas a tener que dejar detallado el proceso a seguir en caso de fuga de datos, las incidencias, cambios de contraseña, acceso a los datos, cuando se realizan copias de seguridad…. Y los acuerdos firmados con los encargados de tratamiento, que ahora te explico lo que es porque es otro de los errores.

Así que tiene que estar constantemente actualizado.

 

No firmar los acuerdos de encargado de tratamiento de datos

Como ya te acabo de indicar es uno de los documentos a incluir en el Documento de Seguridad.

Cuando tienes una gestoría, asesoría legal, empresa de mensajería, mantenimiento informático, el proveedor de hosting, el de email marketing,… tienen acceso a los datos de tus usuarios, por lo que tendrás que firmar un acuerdo con ellos en el que se indiquen cómo deben tratar esos datos, porque tú eres el responsable de ellos.

Este aspecto está indicado en el artículo 12 de la LOPD.

 

No tener una política de privacidad adaptada a tu negocio

El típico copia y pega de los textos legales no es válido, ya que tienes que indicar expresamente los proveedores que utilizas que tienen acceso a los datos, cómo se recogen los datos y la finalidad con la que se recogen,… y cada web es distinta.

Puedes leer el post de cómo hacer los textos legales de tu web para guiarte.

 

No tener permiso para enviar publicidad o informar de tus servicios y para ceder los datos a terceros

Antes de tratar ningún dato de los usuarios, debes informar en la política de privacidad de la finalidad con la que re recogen esos datos y que el usuario de su consentimiento expreso a través del checkbox.

Igualmente debes informar que vas a ceder los datos y un tercero, y la finalidad de esta cesión, y que el usuario lo consienta expresamente.

 

No facilitar darse de baja

En más de una ocasión me he encontrado newsletter de importantes empresas que no facilitan la opción de darse de baja.

No comentas ese error, porque aparte de la importante sanción económica que supone, no te sirve de nada un suscriptor al que no le interesa lo que ofreces.

Y si aún piensas que en realidad la Agencia Española de Protección de Datos no sanciona, te invito a leer las múltiples resoluciones sancionadoras.

Si quieres que adapte tu negocio online a la LOPD, puedes contratar mi servicio de adaptación.

O apuntarte a la lista de espera del curso de adaptación de negocios online a la protección de datos, que comenzará en breve, y donde te enseñaré de manera práctica cómo realizar todo el proceso.

 

¿Conocías todos estos aspectos para cumplir con la protección de datos? ¿Los estás cumpliendo?

Si tienes alguna duda te espero en los comentarios para resolverla 😉

 

Recuerda compartir este post en tus redes sociales, estarás ayudando a tus compis emprendedores online 😉

Cómo dar de alta un fichero en la AEPD vs. registro de actividades de tratamiento

ACTUALIZADO el 06 de Noviembre de 2018

 

Ya no es necesario dar de alta los ficheros en la AEPD, de hecho esta opción desapareció de la web el 14 de mayo (de 2018).

Y el motivo es que en realidad era un mecanismo que no servía para proteger realmente los datos de nuestros usuarios y clientes, y además creaba la confusión de que al realizar el alta de los ficheros ya estábamos cumpliendo la LOPD.

Tras la entrada en vigor del RGPD este paso se ha sustituido por el registro de actividades de tratamiento de datos.

No te preocupes, que te voy a explicar qué es  y lo que debe contener, y si estás obligado a redactarlo 😉

 

¿Quién está obligado a realizar el registro de actividades de tratamiento?

El registro tienen que realizarlo tanto el responsable del fichero (o sea tú) como el encargado del tratamiento (tus proveedores), que deberá especificar los tratamientos que gestionen por cuenta de un tercero, además de los que gestionen de forma propia.

Pero ahora no todos los responsables y encargados tienen que realizar el registro de actividades de tratamiento. Será solo en los casos que cumplan uno de estos requisitos:

  • El negocio tenga más de 250 empleados (seguro que no es es caso de ninguno de los que leen este post).
  • El tratamiento incluye categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual).
  • Cuando se realice tratamiento de datos que puedan entrañar un riesgo para los derechos y libertades de los interesados.
  • El tratamiento de datos que se realiza se refiere a condenas o infracciones penales.
  • Cuando el tratamiento de los datos no sea ocasional, y aquí es donde vamos a estar incluidos todos los que tenemos un negocio online, así que nos toca realizarlo.

 

Mi recomendación es que aunque no estés obligado, tengas tu registro de actividades de tratamiento de datos, porque te va a ayudar a realizar el análisis de riesgo y va a ayudarte a demostrar (en caso de una inspección) que realmente te preocupas por proteger los datos de tus usuarios.

 

 

Contenido del registro de actividades de tratamiento

El contenido que debe tener el registro de actividades de tratamiento viene indicado en el artículo 30 del RGPD, y es el siguiente:

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • fines del tratamiento
  • descripción de las categorías de los interesados y de las categorías de datos personales
  • categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.

 

Además, siempre que sea posible, se indicará también:

  • los plazos previstos para la supresión de datos en las diferentes categorías.
  • una descripción general de las medidas técnicas y organizativas de seguridad.

 

En el registro de actividades de tratamiento de datos también indicaremos las medidas de seguridad que vamos a establecer en nuestro negocio para proteger los datos de los usuarios y clientes, ya que hará también la función del Documento de Seguridad.

Para poder realizar el registro de tratamiento de datos y establecer las medidas de seguridad, previamente habremos hecho un análisis de riesgo.

 

 

Formato del registro de actividades de tratamiento

Puedes hacerlo en formato papel o en formato electrónico, pero debe estar siempre actualizado y a disposición de la Autoridad de control si ésta te lo solicita.

En el caso que por el tratamiento que haces de los datos estés obligado a tener un registro de actividades de tratamiento, el hecho de no tenerlo supone una infracción grave, y mejor ni te digo la sanción porque te puede dar algo, asi que no lo dejes pasar y ponte ya a redactarlo.

Este es sólo el principio para cumplir con el RGPD. Si quieres que te vaya guiando paso a paso por todo el proceso (con plantillas incluidas), puedes adquirir mi curso de protección de datos para negocios online.

Es muy buena opción si quieres llevar totalmente el control de la protección de datos de tu negocio, o si no tienes presupuesto para contratar a un profesional. Pero a un profesional de verdad, que hará una adaptación real, no las ofertas low cost que rondan por internet y que al final no te librarán de una sanción económica.

 

¿Tienes ya redactado los documentos legales de tu negocio online? ¿Conocías esta nueva obligación del RGPD?

Te espero en los comentarios para poder resolver tus dudas.

 

No olvides compartir este contenido en tus redes sociales para que vaya creciendo la comunidad interesada en la legalidad online.

Cómo adaptar tu negocio online al RGPD

Si tienes un negocio online muy probablemente no estés cumpliendo con la normativa legal, bien por desconocimiento o bien porque pienses que no te va a pasar nada, pero las cosas están cambiando, y en materia de protección de datos, la Unión Europea ha armonizado la normativa entre todos los países, y te recomiendo (quien advierte no es traidor), que desde el 25 de mayo de 2018 desde cumplir  el RGPD, pues cada vez hay más conciencia en la protección de los datos, tanto por parte del Gobierno como de los usuarios y las sanciones son más cuantiosas y probables que suceden, más aún porque ahora el usuario puede pedir una indemnización .

Así que para que puedas dormir tranquilo y no tener que pagar sanciones de hasta 4 millones de euros, no te vayas y sigue leyendo, porque voy a explicarte cómo adaptar tu negocio online al RGPD.

Tranquilidad, que es más fácil de lo que parece.

 

¿Debo cumplir con el RGPD si no gano nada con mi negocio?

No hay día que no reciba esta consulta en mi email, algo muy comprensible, pues es difícil imaginar que si tu negocio no está siendo aún monetizado, o lo que tienes es un blog personal que no monetizas, tengas que cumplir con la ley. Nuestra mentalidad suele asociar cumplir con la ley, a tener un negocio o a ganar dinero.

Pero para que puedas entenderlo mejor, la ley de protección de datos, lo que protege son los datos de los particulares, sin importar quién los recopile, es decir, no importa que quien los recopiles sea un particular. De ahí que las Comunidades de Propietarios también deben cumplir esta ley, y tampoco son un negocio (no estoy hablando del Administrador de fincas, me refiero a la Comunidad en sí).

¿Y que son los datos de los particulares? Pues el nombre y el email lo son, por tanto, si tienes un formulario de contacto o de suscripción, pueden dejar comentarios en tu blog donde tú tengas acceso a su email,…. ya tienes que cumplir con la ley de protección de datos. Así que mejor que sigas leyendo, que seguro que ya te ibas a ir porque pensabas que este “rollo” no iba contigo.

Además, debes tener en cuenta que aunque tu negocio no se encuentre en un país de la Unión Europea, si tienes usuarios de estos países, igualmente tendrás que cumplir el RGPD.

 

 

Qué es el Reglamento General de Protección de Datos

Ya que sabes que debes cumplirlo, lo primero es ponernos en situación y te voy a explicar qué es el Reglamento de Protección de Datos.

Se trata de la normativa europa que regula de manera igualitaria cómo se deben tratar los datos personales, ya que no era “justo” que un negocio, por ejemplo ubicado en Alemania, pudiera tratar esos datos con más libertad que uno que se ubicara en España.

Es por ello que decidieron unificar la normativa, protegiendo aún más al usuario, dándole el control de sus datos.

Ahora lo importante es la prevención, es decir, tomar las medidas necesarias para evitar que exista fuga de datos.

 

Qué consecuencias tiene no cumplir el RGPD en tu negocio online

Pues la consecuencia más obvia es la sanción económica a la que te estás exponiendo. Ya no vamos a hablar de los 4 millones de euros, que es para grandes empresas por el volumen de datos que manejan, ¿pero qué le pasaría a tu negocio si tiene que pagar una sanción de 10.000 €? (y estoy tirado por lo bajo…).

Imagino que como mí, pues me hundiría el negocio. Y además, ahora es más fácil que te denuncien, porque el control lo tienen los usuarios, y pueden pedirte una indemnización si no cuidas sus datos. Así que ya sabes, tienes que cumplir la normativa que hay mucho oportunista, incluso tu propia competencia.

Es mejor cubrirse las espaldas.

Porque además, otra de las consecuencias de no cumplir con el RGPD es que no das una imagen profesional, y los usuarios ya se fijan mucho en cómo una empresa va a tratar sus datos. Las cosas están cambiando, porque ya conocen sus derechos el valor que tiene sus datos. Cuidalos.

 

Cómo adaptar tu negocio al RGPD paso a paso

Hay mucha información en internet sobre cómo adaptar tu negocio al RGPD, pero es muy confuso y además incompleto, por lo que al final se termina más liado de lo que se estaba.

¿Me equivoco?

Por ello te voy a indicar aquí paso a paso (y por orden de actuación) qué es lo que hay que hacer. Al fin lo vas a tener todo claro 😉

 

Análisis de riesgo

Lo primero que tenemos que hacer, unido con el paso siguiente, es un análisis de riesgo, que será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. Se analizarán cuestiones como las siguientes y cuantas más respuestas afirmativas, mayor será el riesgo que podría derivarse de dicho tratamiento. Estas podrían ser algunas cuestiones:

  • ¿Se tratan datos sensibles?
  • ¿Se incluyen datos de una gran cantidad de personas?
  • ¿Incluye el tratamiento elaboración de perfiles?
  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?

En definitiva es valorar si hay posibilidades de que esos datos se pierdan, los roben, podamos borrarlos,….

 

Registro de actividades de tratamiento de datos

Como ya te comentaba está relacionado con el anterior y consiste en especificar con todo detalle el tratamiento de datos que se va a realizar.

Es un documento interno donde se va especificar los siguientes datos:

  • Quién es el responsable y el Delegado de Protección de Datos si se requiere.
  • Qué datos se recogen, con qué finalidad, quiénes son los interesados y las categorías de datos personales.
  • A quién se va a transferir y ceder los datos.
  • Qué medidas técnicas y organizativas se van a aplicar para asegurar los datos que se tratan.

 

Es el momento de apuntar todos los proveedores/herramientas con las que trabajan y comprobar que realmente cumplen con la protección de datos. Si no es así, tenemos que cambiarlas.

Yo, por ejemplo, utilizo MailChimp para mis campañas de email marketing, y el hosting Raiola Network, porque cumplen la normativa.

Tendrás que hacer lo mismo con la plataforma donde tienes tus infoproductos,  herramienta de facturación, plugin, chat, … y por supuesto, los colaboradores con los que trabajas: asistente virtual, gestor fiscal,…

 

Medidas de seguridad

Y una vez que tenga bien claro los riesgos que existen en el tratamiento de los datos, tendrás que establecer las medidas de seguridad que vas a adoptar para que las posibilidades de que el riesgo se produzca sean las mínimas.

Irán incluidas también en el registro de actividades de tratamiento de datos, que hace las funciones del anterior Documento de Seguridad.

No olvides que esta documentación tiene que estar siempre actualizada, ya que es lo que va a solicitarle la Agencia Española de Protección de Datos en caso de inspección.

 

 

Adaptación de la web

 

Formularios de contacto, suscripción y comentarios

Seguro que es la parte que más has escuchado (incluso la única), tienes que adaptar los formularios de tu web. Tanto el formulario de contacto,  como el de suscripción y los comentarios. En definitiva, donde recopiles datos de los usuarios.

Este punto es muy importante tras la nueva normativa, pues tú eres el que debes probar que realmente te ha dado su consentimiento.

Incluye una casilla para marcar, con un enlace a la política de privacidad de tu blog/web (luego te explico esta parte). El conocido checkbox.

No olvides desmarcar la casilla, porque sino no se sería un consentimiento expreso.

Además, ahora tienes que incluir una primera capa (como ya pasaba con la política de cookies) donde vas a mostrar la información básica del tratamiento de datos. Sería algo así, pero adaptado a tu caso, claro:

Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Mayte Velasco Cañavate, con la finalidad de atender su solicitud y de enviarte mis publicaciones, promociones de productos y/o servicios, si ha marcado esta última opción.  La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podré atender su solicitud. Puedes consultar mi política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en hola@legalidadonline.com.

Los datos que me facilites serán ubicados en los servidores de Mailrelay (mi proveedor de email marketing), ubicada dentro de la UE, y cuya política de privacidad puede consultar.

Y no olvides el doble opt in, que el usuario tenga que confirmar en su email que se ha suscrito a tu blog o web.

 

Textos legales

Debes revisar tus cláusulas legales (si las tienes, si no tienes que redactarlas) para que reflejen los datos que estás recogiendo, para qué los vas a utilizar y si vas a cederlos o no a un tercero.

Tienes que identificar al responsable de la gestión de los datos (lo normal es que seas tú), y si existe, los datos del delegado de protección de datos. Igualmente tienes que indicar quienes son destinatarios de los datos: hosting que utilizas, plataforma de email marketing, servicio de captación de leads,…

Además tendrás que indicar el plazo por el que se recopilan estos datos o los criterios utilizados para fijar ese plazo. Lo que te obligará a hacer limpiezas periódicas en tus suscriptores.

Así que, se acabó el “copia y pega” de los textos legales de otras páginas que poco tienen que ver con la tuya. Cada blog tiene sus particularidades.

 

Crea políticas de privacidad que inviten a leerlas, acordes con el tono de tu #blog Clic para tuitear

 

Si cambias alguno de los proveedores, no olvides modificarlos.

Te hablo más detalladamente de este aspecto en el post de cómo hacer los textos legales de tu web.

 

 

Contratos encargados de tratamiento de datos

En el día a día de tu negocio trabajas con proveedores/colaboradores que tienen acceso a datos de tus usuario y clientes, como puede ser el webmaster, el asesor fiscal, el hosting, el proveedor de email marketing,… Y con ellos deberás firmar un acuerdo de tratamiento de datos y asegurarte que están cumpliendo con el RGPD.

Si no lo haces así, tú tampoco estarás cumpliendo con la normativa. Ahora somos responsables de elegir a los colaboradores con los que trabajamos.

La mejor manera de comprobar que cumplen la normativa, sobre todo si es una pequeña empresa, es solicitarles que incluyan el registro de tratamiento en el acuerdo que vais a firmar.

Si no tiene este registro de tratamiento, significa que no está cumpliendo la normativa.

 

No te agobies con el #RGPD, con mi curso de protección de datos te enseño paso a paso cómo adaptar tu negocio. Clic para tuitear

 

 

Conclusión

No creo que tengas ya dudas en cumplir con el RGPD. En internet te cruzas a diario con potenciales clientes, y seguro que trabajas duro para poder vivir de tu negocio online, no permitas que una sanción por no tratar correctamente los datos termine con tu sueño.

 

Y aunque te parezca muy complicado todos los pasos que te he contado, te aseguro que no lo es, es entretenido, pero estoy segura podrás hacerlo. Para ayudarte, he creado el Curso de Protección de Datos para negocios online, donde te voy guiando por todos los pasos que debes hacer para cumplir con la nueva ley de protección de datos. Incluyendo todas las plantillas que vas a necesitar para facilitarte al máximo la tarea.

 

Pero si prefieres delegar esta parte de tu negocio, también puedes contratar el servicio de Adaptación a la LOPD y a la LSSI.

 

¿Tienes ya tu negocio adaptado al RGPD? ¿Conocías todos los aspectos que debes cumplir? ¿Tienes alguna duda?

Te espero en los comentarios.

¡NO TE VAYAS AÚN!

Recibe GRATIS la Guía Legal donde te explico todos los aspectos legales que debes cumplir según el tipo de negocio que tengas.

 

Si vendes productos y o servicios (también puedes obtener ingresos por afiliación). 

Si tus ingresos son por afiliación y/o publicidad exclusivamente