Cómo conseguir una web legal y 100% RGPD sin morir en el intento

Tener un blog o una web es imprescindible si quieres lanzar una marca, promocionar tus servicios, monetizar o vivir de internet. Dicho de otra manera, si no tienes una web, no existes en el mundo online, pero debes saber que hay leyes y normas que debes cumplir para tener una web legal.

Te lo pondré muy fácil, si tienes una web, tienes dos alternativas:

1. Legalizarla
2. Tener tu web en modo infractor

No hay un punto 3 y como presumo que la opción 2 no te seduce, me limitaré a explicarte la opción 1.

Por lo tanto, en este post te voy a explicar todos los puntos imprescindibles a la hora de diseñar una página web que cumpla el RGPD.

Porqué debes tener una web RGPD

Muchas veces, hablando con clientes y mientras los escuchaba arremeter contra el RGPD (Reglamento Europeo de Protección de Datos) y quejarse lastimosamente de tener que dedicar tiempo y dinero a algo que consideraban una memez, en lugar de intentar rebatirles les hacia la siguiente pregunta:

¿Irías a comer a un restaurante si supieras que nadie del restaurante sabe manipular los alimentos de forma responsable y segura?

¿O crees  que hay “presuponer” la confianza, aunque no te ofrezcan ninguna clase de garantía?

Con este mismo argumento, tampoco debería ser necesario tener un carné de conducir y conocer las normas de circulación, podríamos presuponer que si coges un coche es porque sabes conducir de forma responsable y segura ¿verdad?

Lo cierto es que el mundo online, en una web concretamente, se recaban, almacenan, segmentan y se tratan datos de personas humanas, cientos de ellos.

Sin embargo, como usuarios, debemos presuponer que, por el hecho de tener una web, los propietarios saben gestionar nuestros datos de forma responsable, segura e integra ¿no es absurdo?

Si gestionas datos de personas, debes garantizarle de manera efectiva, que respetas sus derechos, que sabes tratar su información de forma responsable y segura y no esperar que confíen en ti a ciegas… ¿no crees?

Para ofrecer garantías a los usuarios de que están ante una web legal y segura, que conoce y respeta los derechos de los usuarios, existen las regulaciones que afectan a todas las relaciones que se establecen de forma online y que deberías conocer y acatar obligatoriamente si tienes una web.

Las leyes que debe cumplir toda web para ser 100% legal

Lo sé, nadie te explica estas cosas, de los millones de post que hablan de "cómo crear un blog desde cero”, “cómo obtener ingresos con tu web” o “cómo multiplicar tu lista de suscriptores”, son escasos aquellos que además te explican los requisitos que debes cumplir para poner tu web en funcionamiento y no tener que empeñar las joyas de la abuela o renunciar a tus vacaciones durante el próximo lustro si te cae una sanción.

Creemos erróneamente que en internet reina la anarquía y que las leyes no aplican en el mundo online, es una creencia bastante peregrina, pero no obstante, es seguro que cuando compraste el dominio, no pensaste en ningún momento en la parte legal.

Hay tres regulaciones que afectan directamente a todo aquel que plante un dominio en internet

• La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI).  Esta ley regula las transacciones económicas mediante medios electrónicos, incluyendo el email marketing.
• El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos  (RGPD) . Esta ley es de cumplimiento obligado desde mayo de 2018 y afecta a todos los que traten datos de ciudadanos europeo.
• La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD), introduce novedades mediante el desarrollo de materias contenidas en el mismo.

No son opcionales, no puedes hacerte el sueco, no sirve decir que no sabías nada, porque la ignorancia no exime de responsabilidad.

¿Qué pasa si no adaptas tu web a legalidad?

Al tratarse de leyes de obligado cumplimiento, el primer riesgo de mantener  tu web al margen de la legalidad es ser sancionado, pero no es único.

Imagen y reputación

Los usuarios están cada vez más resabiados y reconocen cuando una web se salta a la torera la legalidad, tampoco es que sea necesario ser un lince.

Si el formulario no recoge el consentimiento, ya es un indicio de que esa web no cumple. Dar pistas de ilegalidad a tu audiencia no es nada recomendable.

Competitividad

Con el RGPD nos encontramos ante lo que se percibe como mero un trámite,  puede convertirse en una oportunidad  que ahorra tiempo y optimiza la calidad y seguridad de la información, genera confianza y, por tanto, eludirlo, compromete la competitividad de tu negocio.

Además, te puede llegar una carta como esta en cualquier momento, del Ministerio de Energía, Turismo y Agenda Digital advirtiendo de la necesidad de cumplir con lo dispuesto por la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) e indicando las deficiencias detectadas que podrían acarrear sanciones desde 30.000€ hasta 300.000€.

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), establece para aquellas personas (tanto particulares como empresas establecidas en España o que dirijan sus bienes o servicios al público español) una serie de obligaciones que han de cumplir. Esta ley es de aplicación a aquellas páginas web que realicen actividades que tengan un fin económico o lucrativo.Entre dichas obligaciones se encuentra el deber de proporcionar en dichas páginas información sobre la identidad de su titular o sobre los precios de sus productos (artículo 10 de la Ley 34/2002), de manera que tanto las autoridades competentes como los usuarios puedan acceder a ella de manera permanente, fácil, directa y gratuita. Asimismo, en caso de que, a través de dicha página web se pueda contratar electrónicamente (compras, reservas,…), además de las obligaciones anteriores, el titular tendrá la obligación de proporcionar al destinatario la información recogida en los artículos 27 y 28 de ley.

Sin embargo, se ha observado que su página web no cumple con alguna de estas obligaciones.

Por este motivo, le recordamos que, a fin de garantizar la transparencia y confianza de los usuarios, y evitar posibles sanciones, deberá incluir en su página web la información indicada en el documento que se adjunta.

Ministerio de Energía, Turismo y Agenda Digital

Descubre si página web es legal y cumple con el RGPD

Lo primero que debes hacer en una auditoria inicial de tu web y saber que aspectos debes tener en cuenta a la hora de adaptar tu web a la legalidad.

Un pequeño test de ayudará a averiguarlo, vamos a ello.

Tus sistemas de captura ¿Cumplen tus formularios con el RGPD?

• ¿Estás informando en cada uno de tus formularios de forma específica sobre responsable, finalidad, derechos conforme exige el principio de transparencia e información del RGPD?  (primera capa y segunda capa).
• ¿Obtienes el consentimiento en cada uno de ellos mediante  una acción afirmativa evidente y previa al tratamiento? (checkbox no premarcado).

Cómo adaptar los formularios de contacto y suscripción en tu web al nuevo RGPD

Consentimiento ¿lo estás requiriendo cuando toca y de la forma que toca?

• Requieres consentimiento específico si:

1. Realizas transferencia internacional de datos (TDI).
2. Si Existen decisiones automatizadas, incluida la elaboración de perfiles.
3. Cedes datos a un tercero.
4. Si  tratas datos especialmente protegidos.

• ¿Puedes registrar esos consentimientos y puedes acreditarlo?
• ¿Tus usuarios pueden retirar su consentimiento en cualquier momento?

Derechos: ¿sabes cómo permitir a tus usuarios ejercer sus derechos?

El RGPD y la nueva LOPD exigen que todo usuario pueda ejercer ante el responsable del tratamiento sus derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

Debes tener claro cómo permitir a tus usuarios el ejercicio de estos derechos e informarles al respecto a tus usuarios.

Textos legales: ¿Tienes todos los textos que necesita tu web?

• ¿Cuentas con un aviso legal, la política de privacidad, las condiciones de contratación (en caso de tener un e-commerce) y política de cookies?
• ¿Los textos constan por separado y están todos visibles en el footer?
• ¿Tus boletines incluyen una cláusula legal informativa? ¿y tu correo electrónico?
• ¿La política de privacidad está personaliza e incluye los datos del responsable, finalidad, plazo de conservación de datos, legitimación, destinatarios, derecho?
• ¿Existe un pop-up previo de advertencia de cookies que suspende la carga completa de la página hasta la aceptación y que incluye enlace a la política de cookies?
• ¿El usuario es informado sobre el tipo de cookies para las que ofrece consentimiento y dispone de la posibilidad de activar y desactivar las cookies?
• ¿El usuario puede acceder al sitio web y sus funciones a pesar de haber rechazado todas las cookies salvo las estrictamente necesarias?
• ¿Todos los consentimientos sobre descarga de cookies se registran como documentación y pueden acreditarse?

La seguridad de tu web ¿proteges los datos de tus usuarios?

• ¿Tu web utiliza un certificado SSL actualizado y que no muestre errores?
• ¿Las herramientas de terceros que utiliza la web cumplen con el RGPD y que garantizan el tratamiento seguro de la información que les proporcionas?
• ¿Actualizas los plugins con regularidad y haces copias de respaldo?

Cómo adaptar tu web a la Ley de Protección de Datos y el RGPD

Si te preocupa la legalidad de tu web y quieres adaptar tú mismo tu negocio al RGPD con una solución lowcost, dispongo de estos kits con todo lo que necesitas para tener una web legal. Todas las plantillas RGPD vienen con instrucciones de utilización y con los campos señalados que debes rellenar.

#1 Adapta tus formularios

Una vez analizados todos tus sistemas de captura, deberás crear clausulas informativas específicas de uso obligatorio en cada uno de tus formularios de contacto  atendiendo al principio de transparencia e información por capas.

Para asegurarte que tus formularios no te delatan como infractor, debes asegurarte de que permiten:

• Obtener un consentimiento válido del usuario para tratar sus datos conforme a la finalidad del formulario.
• Validar direcciones de usuarios y acreditar su voluntad.
• Informar al usuario sobre tus condiciones de privacidad y obtener su conformidad.

Para responder al principio de transparencia, la Agencia Española de protección de datos recomienda el sistema de información por capas, concretamente, la información a suministrar en estas capas sería la siguiente:

Primera Capa: Información básica (resumida)

• La identidad del responsable del tratamiento.
• Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese.
• La base jurídica del tratamiento.
• Previsión o no de cesiones. Previsión o no de transferencias a terceros países.
• Referencia al ejercicio de derechos.

Segunda Capa:  Información adicional (detallada en la política de privacidad)

• Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese).
• Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
• Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo.
• Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
• Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la Autoridad de Control.

#2 Valida el consentimiento

Cuando hablamos de RGPD, la clave en materia de cumplimiento está en el consentimiento, es decir, que cada persona de quien se recojan datos personales dé su autorización para que se utilicen para la finalidad concreta para la que se le han pedido.

Piensa que siempre que se produzca una recogida y posterior tratamiento de información personal, se requiere el consentimiento explícito por parte del usuario de tus términos y condiciones, a menos que tengas otra base legal que legitime el tratamiento, como la prestación de servicios, el cumplimiento de una obligación legal, el interés legítimo, etc.

Pero vamos, que si es un usuario que entra en tu web en calidad de suscriptor, conectar mediante el formulario de contacto o para comentar un post, debes requerir el consentimiento.

No vale solo con informar, debes requerir siempre su conformidad, para ello, debes generar un procedimiento claro que te permita acreditar el consentimiento del usuario, una casilla o check box de “acepto” que no debe estar marcado por defecto y debe ser condición para poder validar al usuario, básicamente, se trata de obtener un primer opt-in.

También  es imprescindible  autentificar el usuario, para ello debes enviar automáticamente un mensaje de correo electrónico (sin ofertas ni publicidad, eso sí) para que el destinatario responda a él confirmando el alta, lo que sí acreditaría un consentimiento expreso, lo que conocemos como “doble opt in”.

#3 Actualiza tus textos legales al RGPD

No puedes pensar en tener una web legal sin contar con los elementos legales que suministran la información que el usuario tiene derecho a conocer antes de suministrar sus datos en un formulario o realizar una transacción online y que se expresan en:

• Aviso legal
• Política de Privacidad
• Política de cookies
• Condiciones de contratación
• Cláusulas informativas a pie de formulario

El RGPD exige personalización e impone una cultura de claridad informativa máxima, esto significa que deberás esmerarte que todos tus textos legales no solo respondan a las características específicas de tu web, sino que, además, sean comprensibles para cualquier usuario.

Deberías evitar el copy paste de otras políticas que posiblemente no tengan que ver con tu operativa web, recuerda que cada web es única y necesita textos legales a medida.

Un aviso legal debería incluir las siguientes cuestiones:

La política de privacidad tiene como suministrar información clara y completa sobre la identidad del prestador de servicios, , las categorías de datos, la finalidad del tratamiento, plazos de conservación, la legitimación de datos, así como información relativa de la cesión a terceros, y sobre los derechos de los usuarios.

La política de cookies: Si, aparte de los datos personales que facilita voluntariamente el usuario en tu web,  se utilizan procedimientos automáticos invisibles de recogida de datos relativos a una persona identificada o identificable (cookies, datos de navegación, información proporcionada por los navegadores, contenidos activos,…) se informará claramente de esta circunstancia al usuario, para eso necesitas una política de cookies que especifique todos estos aspectos, antes de comenzar la recogida de datos a través de ellos o de desencadenar la conexión del ordenador del usuario con otro sitio web.

Si lo que tienes es un e-commerce o vendes infoproductos , debes además crear condiciones de contratación específicas, te las explico en este otro post.

Los textos legales que necesita un e-commerce

¿Eres diseñador web? Aprovecha el valor añadido de ser un web máster compliance

Muchos clientes me contactan después de que su diseñador web le ha dicho que necesitan los textos legales profesionales para finalizar su sitio.

¡Bravo! Esos profesionales evidencian un conocimiento profundo de lo que significa tener una web operativa, funcional y completa y son conscientes que, sin textos legales adecuados, su trabajo no estará finalizado.

Otros clientes me llaman para que revise los textos legales que les hizo su diseñador o después de que algún usuario pataleara.

Es cómo si se me contrataran a mí para adaptar legalmente una web y de paso les ofrezco una auditoría SEO o mejorar el copy. No hombre, no es serio, cada uno sabe de lo que sabe y ningún profesional puede ser experto de todo.

Como diseñador, tampoco deberías responsabilizarte de una actuación que puede suponer sanciones contundentes para tus clientes. Cada maestrito con su librito, lo mejor que puedes hacer es ser un profesional consciente de las necesidades de tus clientes y aportar las soluciones adecuadas en todo momento.

En el caso de una adecuación legal, lo recomendable es que trabajes con profesionales de confianza.

Por otra parte, asesorar adecuadamente a tus clientes sobre la necesidad de tener una web legal, te dará un plus de credibilidad que cualquier cliente valorará positivamente y te dará una importante ventaja competitiva.

Conclusión ¿merece la pena tener una web ilegal?

Honestamente, creo que tener una web que no cumpla exigencias legales obligatorias es temerario, porque asumes riesgos que pueden comprometer todo el trabajo de años y dejar tu reputación por los suelos.

En ese sentido, debes decidir si te compensa o no, pero mi recomendación es que no dejes tu web desamparada.

Cumplir es también una declaración de principios: le dices a tu comunidad que te importan sus derechos, que los respetas y que pueden confiar en ti.

Lo que has leído en este post son algunas de las cosas que debes incorporar a tu web cuando decides realizar una adecuación efectiva y eficiente, y apostar por dejar evidencias claras de tu compromiso con la privacidad de las personas que confían en ti.

También puedes ignorar los riesgos y amenazas de una sociedad digital, seguir operando al margen de la legislación en materia de protección de datos y  elegir comprometer tu credibilidad, pero sinceramente ¿crees que merece la pena?

Portada: freepik