El 25 de mayo de 2018 entra en vigor con carácter obligatorio el nuevo reglamento europeo que afecta a Ley de Protección de Datos o LOPD (por Ley Orgánica de Protección de Datos) aunque la versión definitiva de dicha ley aún se está tramitando en el parlamento español.
A quien afecta la nueva ley: a todas las entidades que traten datos de carácter personal y se encuentren dentro de la Unión Europea. Es decir, si estás en Europa y dispones de un sitio web en el que ofreces suscripción a un boletín y por lo tanto recabas el nombre y el email de tus suscriptores, te afecta. Si tienes clientes, empleados y proveedores… entonces ya ni lo dudes, te afecta directamente.
La mayor parte de clientes y alumnos me hacen preguntas al respecto, así que aquí he preparado un breve resumen de los 7 puntos más importantes que debes saber sobre la nueva ley.
Cuáles son las nuevas obligaciones de la Ley de Protección de Datos
1. Rendición de cuentas: debes notificar a la Agencia Española de Protección de Datos, antes de 72 horas cualquier brecha de seguridad que afecte a los datos personales. Y si los datos son de carácter sensible (orientación sexual, salud, religión, etc.) también debes notificarlo a los usuarios afectados. Pero ya no hace falta inscribir los ficheros en el sitio web de la Agencia.
2. Responsabilidad proactiva: debes prevenir cualquier tipo de incidencia que pueda conllevar una brecha en la seguridad de tus datos. Por ejemplo, las máquinas en las que están los datos deben tener login y password, deben tener el sistema operativo actualizado, deben disponer de antivirus, etc. Si tienes más de 250 empleados hay que llevar un registro de actividades de tratamiento (mi consejo es que si este es tu caso, te pongas en manos de un especialista).
3. El Delegado de Protección de Datos: si tienes datos sensibles (mi consejo es que no los tengas) necesitas a un responsable de seguridad en tu empresa que será el encargado o encargada de supervisar el cumplimiento de la normativa. Esto ya era así con el antiguo reglamento, pero ahora le han puesto el nombre de “Delegado de Protección de Datos”.
4. El Derecho al Olvido: tus usuarios pueden solicitar que borres sus datos. Y deberás borrarlos obligatoriamente. Esto ya era así antes… pero ¿has intentado alguna vez que no te llamen a casa empresas de telemárqueting? Ahora se les va a caer el pelo si no te borran cuando se lo indiques, las nuevas multas van en función de la facturación anual. Por lo que a ti respecta, en tu web los usuarios deben poder darse de alta, de baja y modificar sus datos. Si utilizas una suscripción tipo Mailchimp ya se hace de forma automática desde los emails, no te preocupes. Asegúrate de que lo ofreces en todos los emails y en el pie de página de tu sitio web.
5. Derecho a la Portabilidad: ¡esta es nueva y es una buena idea! Los usuarios que hayan proporcionado sus datos a alguien que los trata digitalmente pueden pedir recobrar estos datos en un formato que permita su traslado… ¡será práctico al cambiar de médico!
6. Cambios en la obtención del consentimiento: el reglamento indica que el consentimiento debe ser libre, informado, específico e inequívoco. Aquí es cuando empiezan los problemas… porque en la Agencia de Protección de Datos indican que en todos los formularios de captación de datos hay que poner una parrafada de 150 palabras. Y debes poder demostrar que los usuarios te han cedido los datos libremente e inequívocamente. No te preocupes, en el menú de administración de los programas de gestión de emails tipo Mailchimp te indican la fuente de los datos y la fecha en la que se incorporaron y por lo tanto, tienes un registro y una prueba de su suscripción. Además, como los usuarios deben confirmar su email (doble opt-in) no hay posibilidad de que se suscriban sin darse cuenta. Esto está pensado para los que compran datos personales. Sobre las coockies, la normativa sigue igual, necesitas el consentimiento del usuario la no acción no puede ser considerada una aceptación.
7. Tratamiento de datos por parte de terceros: si utilizas una gestoría para pagar nóminas o bien una empresa de márqueting realiza tu boletín, necesitas un certificado por parte de esta empresa en el que te indique que cumple la normativa. Antes necesitabas un contrato… un certificado es más fácil de obtener.
Para facilitar el trabajo y tener toda la documentación en regla, la Agencia Española de Protección de Datos ha creado un sitio web que te genera automáticamente toda la documentación que necesitas (incluye los párrafos de los formularios, los certificados para tu gestoría, etc.). La verdad es que la herramienta está muy bien. Este es el enlace: Facilita RGPD. Te recomiendo que lo utilices.
Como puedes ver no es tan drama como lo pintan, asegúrate de que cumples con los requisitos, guárdate la documentación de la Agencia por si alguna vez la necesitas y sigue trabajando como siempre.
He citado Mailchimp porqué es el programa de envío de boletín que yo utilizo y el que enseño en clase de emailmarketing, pero la mayor parte de programas funcionan igual, así que comprueba qué hace el tuyo, para más tranquilidad.
Espero que este artículo te haya sido de utilidad.
Hola Montse,
Me llamo Ángel Ivanov y participo en el curso SEO POSICIONAMIENTO natural Web de Miríada. Tengo dos sitios web a través de WordPress en los cuales no tengo como parte recopilar y procesar datos personales. Los hice para practicar en el proceso de formación. No tengo empresa ni soy autónomo.
Por favor, ¿me podrías indicar si tengo obligaciones al respecto de la nueva normativa GDPR? ¿La política de cookies siempre tendremos que notificarla y avisaría?
En cuanto me entró el pánico quite las páginas de contacto y cambié la privacidad a privada en lugar de publica aunque los dos sitios web están indexados.
Gracias
Un saludo,
Ángel Ivanov
Angel, disculpa la demora, no vi el mensaje.
Oye, sí tienes obligaciones… en la web debe quedar claro que tu (con nombre, apellidos y DNI) eres el propietario del sitio web. Si recoges emails para una suscripción a un posible boletín, también debe quedar claro que te harás responsable de la base de datos y que tus usuarios pueden ejercer sus derechos ARCO. Sobre las cookies, igual… necesitas comunicar que las utilizas (pon el plugin para wordpress Cookie Low). Si utilizas Google Analytics o tu web está hecha con un gestor de contenidos siempre tendrás cookies de terceros así que sí, siempre tienes que notificarlo.
No te preocupes, tampoco es tan complicado tener obligaciones de este tipo… sólo asegúrate de que notificas todo lo que hay que notificar a los usuarios.
Que vaya todo bien
un abrazo
Montse.
Hola Montserrat,
Somos un grupo de trabajadores autonomos y pretendemos montar una asociación sin animo de lucro para poder gestionar demandas a la administración, mi pregunta es, la asociación tambien tiene obligaciones respecto a la protecón de datos con sus asociados?
Gracias, un saludo.
Bon dia.
sóc autònom i tinc una acadèmia i cap treballador al meu càrrec.
Cal que ho faci?
Con esta nueva ley, es lícito que salga tu nombre y apellidos en oposiciones y concursos para puestos de trabajo de la administración a los que te inscribes, así como los resultados, viendo que en otros lugares sólo pone el DNI?
Juan Antonio, sí, sin dudarlo. Tenéis las mismas obligaciones que cualquier organización.
Sí, ja que tens dades personals dels alumnes… no cal que tinguis segons quin paper, com per exemple un contracte de gestió de dades per part d’un tercer (que seria el que necessitaries si algú extern et gestionés les nòmines), però tens les dades dels alumnes i per tant les mateixes obligacions que qualsevol organització, encara que siguis autònom.
Ummmm esta es complicada de responder. Yo creo que no deberían. Los datos que comentas son de nivel básico pero el hecho de que sea para un concurso público y por lo tanto estés aplicando para un puesto de trabajo (cosa que puede afectarte en tu puesto actual) yo diría que los convierte en datos de nivel medio… así que no, yo creo que sólo deberían indicar el DNI como máximo… pero dicho esto, yo no soy ninguna experta este tipo de derecho, mejor pregunta a alguien especialista en gestión de datos.
Besos Elisabeth.
Sorry Angel, se me pasó tu comentario. Si no recopilas datos no tienes ninguna obligación respecto a la Agencia de Protección de Datos. Con un formulario de contacto, mientras no los suscribas a nada, la única obligación es a mantener a salvo esos datos y que ni te los vendas ni dejes que te los roben. No importa si eres autónomo, empresa o persona sin más. Sobre las cookies, sí es obligatorio notificarlas. Siempre. Es muy pesado y es tonto porqué todas las webs las utilizan (menos la web de la Agencia de Protección de Datos)… pero así son las cosas.
Besos
Montse
Muy importante que los datos recabados sean solamente los necesarios para los fines que vengan bien especificados antes de que la persona los confie. Gracias por todos estos consejos. La verdad es que hay que estar al tanto constantemente
Bon dia, sóc metge i començaré a treballar per compte propi i necessito algun formulari per oferir als meus pacients quan vinguin a visitar-se però l’enllaç que has passat em diu que no hi ha cap formulari per sanitat. om ho he de fer????
Gràcies
Hola Anna, qualsevol formulari et pot anar bé mentre no demanis dades de salud a la gent que l’ompli. Si és per demanar hora o directament és un motor automàtic de donar cites, només pregunta per coses bàsiques com el nom, el cognom, l’email i el telèfon (com a molt). Si demanes quelcom relacionat amb salud, llavors passes a nivell alt de seguretat i ja calen un munt de coses (com les auditories cada dos anys, controls especials als servidors, control físic d’accés on hi ha les màquines amb les dades…un lío vaja… val més no demanar-ho).
¿Y qué ocurre con las direcciones de correo electrónico tomadas anteriormente? ¿Las que recabaste sin consentimiento explícito? Un saludo.
Hola Javier, si las recabaste sin consentimiento no puedes utilizarlas para una suscripción, pero sí podrías utilizarlas para enviar un mailing y preguntar si desean suscribirse. Si no contestan o dicen no, entonces no puedes hacer nada con ellas. Si responden que sí o hacen la llamada a la acción que les hayas propuesto, entonces los has recuperado.
Espero que esta respuesta te sea de utilidad
Un abrazo
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!