El 25 de Mayo de 2018 entra en vigor el Reglamento Europeo (UE) 2016/679 en materia de Proteccion de Datos. Para esa fecha todas las empresas y profesionales que recojan, guarden, traten o usen datos de ciudadanos de la Unión Europea, independientemente de su país de origen o actividad, deberán cumplir estrictamente este nuevo reglamento.  Se impone un cambio importante a la hora administrar y gestionar la información recabada de los usuarios y clientes.

Cambios básicos en el sitio web

Existen unas acciones básicas a realizar para todos los sitios webs afectados por el RGPD. Los hemos englobado en tres bloques:

1. Textos en formularios y casillas de verificación

Es necesario adaptar todos los formularios presentes en el sitio web, siempre que se capturen datos privados de usuarios (ej. nombre, email, IP, etc.).
Estos formularios deben facilitar dos documentos legales de forma bien visible: Aviso legal y Política de privacidad.

Así mismo, los formularios deben solicitar consentimiento explícito de la política de privacidad, es decir, para ello el usuario debe indicar explicítamente su consentimiento haciendo por ejemplo clic en una casilla de verificación (checkbox). Dicho consentimiento debe ser verificable, por lo que es preciso registrar los datos que se capturen (nombre, email, IP, etc.) y por supuesto el valor del consentimiento.

Para el caso de listas de suscripción (boletines), esto puede implicar la necesidad de volver a crear la lista de suscriptores desde cero si previamente no se estaba haciendo de esta manera. Si tu lista de suscripción está en mailchimp puedes obtener más información en este enlace.

Por último, es necesario añadir la información sobre la Política de Privacidad en los formularios mediante un enlace al citado documento «Política de privacidad» y además, añadiendo un breve resumen del mismo.

2. Registro de actividades de tratamiento

Estas medidas deben ser recogidas en un Registro de actividades de tratamiento (RAT). Dicho documento tendrá un formato electrónico. El RGPD señala la necesidad de describir qué datos se recogen y de quién, con qué fin se tratan, a quién se comunican y si se transfieren a terceros países, qué medidas técnicas y organizativas se aplicarán, y cuándo se suprimirán.

Las empresas y profesionales no tendrán que realizar este registro si no están incluidos en alguno de estos tres casos:

1. La empresa u organización tenga más de 250 empleados.
2. Se realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean ocasionales, o incluyan categorías especiales de datos personales.
3. Se realice un tratamiento de datos personales relativos a condenas e infracciones penales.

Afortunadamente, a nivel práctico, un gran número de empresas y profesionales no se encontrarán obligados por el RGPD a llevar a cabo el registro de actividades del tratamiento. Sin embargo, no se trata ya solo de una práctica muy recomendable, sino de una herramienta que va a permitir al responsable o encargado del tratamiento demostrar el cumplimiento de la normativa, ya que, recordemos, el RGPD trae como novedad el principio de responsabilidad proactiva, por el cual, el responsable del tratamiento no solo deberá cumplir con la normativa, sino que deberá ser capaz de demostrarlo. En este sentido apunta también la redacción del considerando 82 del RGPD:

“Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.”

3. Página de Política de Privacidad

La Política de Privacidad deber ser totalmente transparente ya que se está obligado a informar a los usuarios de forma clara y sencilla sobre la identidad, la finalidad de la información que se recoge, el tiempo de conservación de los datos, la base para legitimar el tratamiento y los derechos que tienen los usuarios sobre los datos que hayan suministrado.

Es necesario tener mecanismos habilitados para que los usuarios puedan ejercer sus derechos, por ejemplo, que estos puedan acceder fácilmente a sus datos, modificarlos, suprimirlos, etc.

También se debe contar con un mecanismo para notificar brechas de seguridad: el RGPD exige informar a tus usuarios si se ha producido una fuga de información y a la autoridad de control, en este caso, a la Agencia española de protección de datos. Por tanto, si existiese violación de datos en el sitio web, se deberá notificar a todos los afectados.

Herramienta de ayuda RGPD

Con la finalidad de facilitar la adecuación al RGPD, la Agencia Española de Protección de Datos pone a disposición una herramienta llamada Facilita_RGPD. Está dirigida a empresas y profesionales que tratan datos personales de escaso riesgo, como por ejemplo, datos personales de clientes, proveedores o recursos humanos.

Facilita_RGPD es una herramienta gratuita, y anónima, que con tan solo tres pantallas de preguntas muy concretas permite valorar la situación respecto del tratamiento de datos personales que se lleva a cabo en el sitio web. 

La herramienta genera diversos documentos adaptados al ámbito empresarial o profesional, cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y finalmente un anexo con medidas de seguridad recomendadas.

[youtube clipid=»KUsYN8NsKfw» autoplay=»0″]

 

Hoja de ruta

Por último, para aquellos profesionales y empresas que no tengan muy claro como adaptar su web al nuevo reglamento, la Agencia Española de Protección de Datos (www.aepd.es) ha preparado la siguiente hoja de ruta que resumen los pasos para la adaptación al RGPD.