Como adaptar tu web al nuevo Reglamento General de Protección de Datos (GDPR)

En mayo de 2018 entrará en vigor dentro de la Unión Europea el nuevo Reglamento General de Protección de Datos y las dudas sobre cómo los emprendedores digitales debemos adaptarnos a él son muchas. Por eso he querido invitar a la abogada Raquel Blanco de Blanco Legal que nos aclare todas nuestras preguntas y sepamos exactamente qué supone esta nueva ley y qué cambios debemos hacer en nuestras webs para que cumplir con ella correctamente. ¡Vamos allá!


Estamos terminando ya abril y no queda nada para el tan temido 25 de mayo, fecha en la que entra en vigor el nuevo Reglamento General de Protección de Datos, y mientras llega la fecha, igual te has vuelto loco buceando en la red buscando respuestas.

Y en esa vuelta estoy convencido de que habrás encontrado respuestas de todo tipo, no sabiendo muy bien que es lo que debes hacer. Habrás escuchado que si checkbox, que si doble opt-it, que si perico el de los palotes. Y entre tantas palabras, tú no sabes muy bien que hacer.

Si bien es cierto que el nuevo Reglamente configura un cambio en la forma de pensar con respecto a la anterior legislación, el resultado es simplemente la evolución del sistema y de los usuarios. A mí me gusta siempre comenzar pensando en que nosotros también somos usuarios, conocerás a muy poca gente que no consuma, y este hecho nos debe hacer mucho más conscientes del cuidado que debemos poner en los datos que nuestra gente nos entrega, aunque sea un simple email.

Piensa por un momento: ¿en cuantas listas de correos estás?, ¿cuanto te molesta recibir emails sin que lo hayas pedido?, ¿A ti no te molesta el spam?

Si lo ves con los ojos del usuario esta nueva legislación te va a resultar muy amigable y vas a terminar pensando que está hecha precisamente para ti. Hasta puede que acabes encantado con ella.

Lo primero que debes hacer es revisar tu página, tus listas, tus estrategias de marketing con unos nuevos ojos, vas a tener que actuar desde la perspectiva de la prevención y no de la información. Con la antigua legislación, lo que hacíamos era informar, sin prever que pudiera haber algún problema de seguridad. Esto es lo que va a cambiar.

Ahora con la nueva legislación lo que prima es la prevención, es decir, vamos a tomar todas las acciones necesarias para evitar que pase cualquier cosa que no debiera pasar, lo que se llama fuga de seguridad. Por eso vamos a hablar todo el rato de prevención y estoy convencida de que va a resultar mucho más sencillo de lo que te imaginas.

 ¿Estás seguro de que te afecta el nuevo reglamento?

Da igual donde te encuentres y cuál es tu país de origen si los datos que obtienes pertenecen a algún ciudadano europeo. Si es así, el nuevo Reglamente te afecta plenamente y, por tanto, estás obligado a cumplir el mismo.

 Y ¿cuáles son mis obligaciones con la nueva legislación?

La primera y más importante es la de informar al interesado antes de que este haga nada y mucho antes de que reciba el primer email.

Vamos a tener que identificar los datos del responsable del fichero, que casi siempre seremos nosotros, así como los fines del tratamiento, lo que quiere decir para qué queremos sus datos, la respuesta a esta pregunta es muy sencilla: puede ser simplemente para interactuar con el usuario, para que reciban tu newslwtter, o para que reciban información comercial que puede resultarles interesante.

Lo importante es que les comuniques todas las opciones desde un principio, para que todo quede claro.

Por eso vas a tener que modificar tu formulario de suscripción, el que utilizan para descargarse tu lead magnet, ya que hasta ahora estábamos acostumbrados a que con la suscripción inicial pudiéramos hacer lo que mejor nos pareciera, que siempre se traducía en incluirle en todas nuestras listas.

Pero a partir de ahora seguir así no va a ser posible, ya que si yo solo me suscribo para recibir tu lead magnet y nada más, no podrás incluirme luego en otras listas, ni siquiera para enviarme tu newsletter semanal.

Esto se traduce en un problema de comunicación y nos obliga a revisar los textos y revisar las acciones que solemos realizar normalmente, sólo así seremos capaces de integrar la realidad con la legalidad.

Puede que no queden formularios tan limpios y bonitos como teníamos antes, porque hay mucho más texto que integrar, pero dale una vuelta e intentarlo, que vale la pena.

Y cuando revises tus textos, no te olvides de la plataforma de email marketing que utilizas, también tenemos que comunicarla si no está en España.

Por ejemplo, yo utilizo este texto “Blanco Legal te informa que los datos de carácter personal que nos proporcionas rellenando este formulario, serán tratados por Blanco Legal, como responsable de la web. La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para enviarte nuestras publicaciones, promociones de productos y/o servicios y recursos exclusivos. La legitimación se realiza a través del consentimiento del interesado. Te informo que los datos que nos facilitas están ubicados en los servidores de ActiveCampaigne, nuestro proveedor de email marketing, a través de su empresa ActiveCampaigne, LC, ubicada en EEUU y acogida al EU Privacy Shield. Puedes ver la política de privacidad de ActiveCampaigne.

El hecho de no facilitarnos los datos de carácter personal que aparecen en el formulario como obligatorias hará que no podamos atender tu solicitud.

Puedes ejercer tus derechos de acceso, rectificación, limitación, portabilidad o supresión en hola@blancolegal.es. Puedes consultar la información detallada sobre Protección de Datos en nuestra Política de Privacidad. “

¿Comprendes la diferencia? Es clara, yo te cuento para que quiero tus datos, y tú me autorizas, y lo haces antes de nada porque el consentimiento debe ser previo.

De aquí viene todo el lío del checkbox, porque el Reglamento nos dice que no podemos utilizar medios que ya estén marcados, sino que debe ser un ejercicio de voluntad, y debe ser específico.

Aquí aparece el lío del doble opt-in o no. La legislación traslada la carga de la prueba al responsables de los datos, es decir, a ti.  Tú eres, en caso de disputa, quién debe justificar que el usuario ha dado la autorización, por eso en muchos lados hablan del doble opt-in como medio de acreditar dicho hecho. Es un doble medio de justificar. Es más la segunda confirmación siempre se guarda en los servidores de tu plataforma de correos, y eso lo conforma cómo un buen medio de prueba.

La otra obligación que nos impone el Reglamento es recoger sólo aquéllos datos que sean necesarios para los fines adecuados.

Por ejemplo, si yo quiero que te suscribas a mi newsletter, no es necesario que te pida el teléfono o la cuenta corriente,¿no? Con pedirte el correo electrónico, el fin, que es que yo te envié mi boletín, está más que satisfecho, por lo que no debo pedirte más datos de los que de verdad se necesitan. Y los debo mantener sólo durante el tiempo necesario.

 Lo normal será que en tu web captures datos desde los siguientes sitios:

  1. Comentarios.
  2. Formulario de contacto.
  3. Captura de suscriptores.
  4. Carrito de la compra.

Todos estos focos de obtención de datos debes revisarlos con cuidado, ya que debes incluir el checkbox y nuestra retahíla de información, tal y cómo te decía más arriba. Mira cómo resolvimos el formulario de suscripción de Conchi Sanjerónimo, sencillo y con estilo. Puedes visitar la web para verlo en su propio ambiente, verás cómo no desentona.

Cómo ves lo importante es que el suscriptor tenga que clicar voluntariamente para que se marque la casilla y puedas enviar el formulario, esto es a lo que todo el mundo se refiere con el checkbox.

Los comentarios del blog también son un formulario a tener en cuenta, aunque este es mucho más fácil de resolver. Yo te recomiendo este plugin, que te permite editar el texto.

Nota de Carmen: También puedes probar con este otro plugin gratuito.

Cuando repases el texto del formulario que utilizas para captar suscriptores, acuérdate que si no indicas nada más, sólo vas a tener autorización para que se descarguen el lead magnet, por lo que yo te recomiendo que incluyas el envío de boletines, la promoción de productos y servicios y todo aquello que vas a querer ofrecer a tu suscriptor. Así que para un momento y repasa qué es lo que sueles enviar normalmente a tus suscriptores, y en función de ello, añádelo al formulario.

Puedes ver otras opciones, por ejemplo Arianna León lo hace muy parecido a nosotros, puedes visitar su web para comprobarlo por ti mismo, aunque te dejo unas imágenes.

"/

El texto de los comentarios, Arianna lo resuelve así, ¿ves cómo el texto no tiene porqué estar reñido con el diseño?

"/

 

 ¿Recapitulamos?

Lo primero que debes hacer es generar los documentos legales, el aviso legal y la política de privacidad, si no los tienes, y si los tienes, debes revisarlos.

Recuerda que debes incluir para qué vas a recoger los datos personales, lo que llamamos la finalidad.

En segundo lugar, debes modificar los formularios de captura de datos solicitando explícitamente si el suscriptor acepta la política de privacidad, incluyendo el checkbox. No te olvides de los comentarios del blog.

Y por último necesitas actualizar tu lista de correo.

Y la otra gran pregunta que nos hacemos millones de internautas…

 ¿Qué tengo que hacer con mis suscriptores actuales?

Recuerda que a tu lista actual no le puedes seguir enviando emails sin que haya aceptado tu política de privacidad, por lo que debes marcar una fecha límite, si es antes del 25 de mayo, mucho mejor, para pedirles que si quieren seguir contigo deben acepar tu nueva política de privacidad.

Esto no es algo raro, todos estamos recibiendo estos días mails pidiendo que confirmemos la suscripción, y quién no confirme, lo siento mucho, debe quedarse fuera de la lista. No hay opción.

En este tema debes ser muy escrupuloso y ayudarte con la plataforma de email marketing que utilices normalmente. Recuerda todo lo que hemos dicho sobre los formularios, los textos y el checkbox, así no tendrás problemas.

No olvides comprobar si tu plataforma de email marketing está ubicada fuera de Europa que deberás comprobar que está acogida al Acuerdo Privacy Shields. Puedes visitar el post que escribió Benchmark donde explica a la perfección qué significa dicho acuerdo.

 Y ya para terminar te vuelvo a recordar lo más importante, los pasos que no debes olvidar bajo ningún concepto:

  1. Nombra como responsable de la gestión de emails a alguien responsable si no vas a ocuparte tú.
  2. Clasifica tus procesos, preguntate de dónde vienen los datos, las fuentes, cómo se procesan en tus bases de datos, cuándo se eliminan o cómo tienen acceso a ellos los usuarios.
  3. Documenta todos tus procesos, no te olvides que con la nueva legislación eres tú quién debe acreditar que cumples con la legislación, o dicho de otra forma, no solo debes ser legal también debes poder demostrarlo.
  4. No te olvides del consentimiento, el punto fundamental al que hay que volver una y otra vez.

Y no te preocupes, porque pasado el día 25 de mayo seguiremos aquí, seguiremos buscando la forma de mejorar.

Es posible que muchos de los cambios que ahora hemos incluido, tal vez con el tiempo no nos terminen del todo o encontremos formulas que se adaptan mejor.

Para eso, lo mejor que puedes hacer es observar el proceso, sacar conclusiones y ver las mejoras que debes introducir cómo una parte de tu rutina, eso sí, manteniendo la calma todo el rato. No sirve de nada ponerse nervioso.

Y si no te aclaras, siempre puedes contar con nosotros en Blanco Legal 😉

Raquel Blanco
raquel@blancolegal.es

Abogada y asesora legal. Me encanta ayudar a empresarios que quieren gestionar su negocio de manera eficiente y hacerlo crecer. Puedes encontrarme en blancolegal.es

3 Comentarios
  • Maribel
    Publicado a las 09:57h, 18 mayo Responder

    Muchas gracias por este post, muy completo y directo a lo más importante e indispensable para aplicar.
    Si tengo una pregunta: ¿ podrían, por favor, facilitarnos el nombre del plugin que teneis instalado en esta página de “Carmen Rodrigo”
    Muchas gracias !

Publica un comentario