RGPD

RGPD, LOPD: ADAPTAR MI WEB, BLOG Y LA MADRE QUE LO…

Se acerca el 25 de mayo, fecha tope para implementar los cambios en webs y blogs que imponen RGPD y LOPD.

Las dejo con sus siglas, y no especifico, porque estoy convencido de que ya las conoces. Sobre todo si tengo en cuenta la cantidad de veces que se han citado en la red desde comienzo de año. 

Como era de esperar, y ya avisé por aquí, el Apocalipsis está próximo. Esperad que se abra la tierra bajo vuestros pies y el cielo se oscurezca entre amenazadoras trompetas.

Todo el mundo ha entrado en pánico y la mayoría dice tirar la toalla.

Otros preguntan: qué es eso nuevo que nos quieren imponer. Hay quién dice que se trata de un negocio para sacarnos la pasta y los más osados se inclinan a la teoría del complot y de la limitación de la libertad de expresión.

Que el RGPD no machaque tus nervios, que para eso ya están otras cosas como los plugins, el hosting, las migraciones y esas cosas…

¡Tranquilo!
¡Relax!

No es para tanto.

Bueno, aquí no voy a juzgar las opiniones de nadie. Solo faltaría. Pero incidiré una vez más en que somos España, para lo bueno y para lo malo, y: YA LO ADVERTI.

DEJAMOS TODO PARA EL ÚLTIMO DÍA. Y EL RGPD, MÁS.

Bien.
Lo primero que quiero decir es que no se trata de nada nuevo. La directiva europea que obliga a los estados miembros a adecuar la norma, es de 2016.
Y lo segundo, que tampoco son tantos cambios.

El problema es que antes trabajábamos recabando datos de personas, siempre con muy buena fe (algun@s no tanto), sin ningún tipo de control, ni garantías para el usuario y eso se ha acabado.

¿Tú también tienes que adaptarte?

Es una de las preguntas que más he recibido en estos días.
Respuesta con otra pregunta: ¿Vas a tratar datos de otras personas en tu blog? No. ¿Seguro? ¿Ni tú, ni terceros?
Si es así, no tienes que hacer nada. Pero si en alguna parte tienes cajetines de suscripción, comentarios, pides nombre o correo electrónico…me temo que debes adaptarte.

Mira este post de Marina Brocca que explica fenomenal las cuestiones relacionadas con las prácticas de e-mail marketing. 

¿De qué van las “supuestas” novedades?

Básicamente de informar al usuario qué haces con sus datos. Ya está. Así de simple. Yo creo que es justo ¿no?

En la famosa “política de privacidad” de tu blog (que yo tengo adaptada y pronto podrás ver la nueva versión), a la que siempre has de remitir a tus visitantes, les informas:
1.  De quién eres y porqué estás “legitimado” para tratar sus datos. Qué tipo de datos recoges.
2.  Para qué pides esos datos y qué vas a hacer con ellos.
3.  Cuánto tiempo los conservarás y de qué manera garantizas su privacidad.
4.  Si hay cuestiones en tu blog que están automatizadas y porqué.
5.  Los derechos que le asisten como usuario, forma de ejercitarlos y posibilidad de acudir a las autoridades de control.

¿Quién es el responsable?

La ley dice:

“La obligación de informar a las personas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el Responsable del tratamiento”.

Pregunto: ¿Tienes un Delegado de Protección de Datos que se ocupe de esto en tu blog?
¿No?
Pues el responsable entonces eres TU. No le des más vueltas.

Estoy recibiendo un montón de mails de sitios a los que estoy suscrito, asesorados por no sé quién y me da igual, que cuando los leo me dan ganas de borrarme de la newsletter. De hecho, de algunas así ha sido.
¿Por qué?
Porque el propio reglamento nos dice que no será necesario informar al interesado cuando “YA” dispongas de los datos o cuando (y me quedo con un punto de los tres que especifica):
·      La comunicación resulte imposible o suponga un esfuerzo desproporcionado.
Si tienes 100 suscriptores, bueno. Pero imagina 100.000 antes del 25 de mayo.
No lo quiero pensar.

Momento en el que muchos bloguer@s toman su decisión con respecto a las adaptaciones necesarias en cumplimiento del RGPD

¿Cómo tengo que informar?

No es ninguna novedad tampoco. Pero como no se hacía, han tenido que volver a insistir en el asunto.
1.  Usa un lenguaje claro y sencillo (No se está haciendo)
2.  De forma concisa, transparente, inteligible y de fácil acceso. Si miro alguno de grandes compañías, me quiero morir. ¿Qué no han entendido?
Una de las recomendaciones que hace la AEPD a la hora de cumplir con la exigencia de una información clara y precisa es que la misma se presente por capas.

¿Cómo sería esto?

Establecer distintos epígrafes:
a)  Responsable
b)  Finalidad
c)  Legitimación
d)  Destinatarios
e)  Derechos
f)    Procedencia de Datos

Después pasaríamos a ofrecer una información básica en cada epígrafe. Aquí es importante prestar atención porque hay a quién no le parece (no sin cierta razón) demasiado bien exponer sus datos en público. Pero esto, a pesar de ser debatible, no parece que pueda dejar de cumplirse.

a)  Responsable … Identidad del responsable.
b)  Finalidad………. Para qué usarás los datos.
c)  Legitimación…… Base jurídica del tratamiento.
d)  Destinatarios….. Si cederás los datos o no a terceros.
e)  Derechos………. Informar del ejercicio de derechos.
f)    Procedencia…… Si los datos no proceden del usuario.

Y, finalmente, utilizaríamos otra capa o estrato de información por epígrafe en el que detallaríamos aún más:

a)  Datos de contacto del responsable. Se especifica que como datos de contacto debe incluirse una dirección postal (no tiene porqué ser tu casa, pero sí que sea localizada) sin perjuicio de que se facilite, además, un apartado postal. Este punto es importante puesto que en diversos foros, he leído que un apartado postal podía sustituir a la dirección postal. Y a la luz de lo que dice la AEPD, no parece que esto sea posible. Y también una dirección electrónica. Esta puede ser un correo, o un formulario electrónico de contacto.

b)  Se debe señalar a qué fines destinas los datos personales. Incluir el plazo que vas a conservar esos datos. Que no utilizarás los datos para otros fines que los señalados.

c)  En este epígrafe, lo que detallas es que cumples con la obligación legal que impone la normativa comunitaria, la ley (LOPD) y el reglamento (RGPD). Y al mismo tiempo, debes hacer constar que el consentimiento del interesado te legitima para hacer uso de esos datos.

d)  En este punto el detalle tiene que ver con la identificación de quienes son los terceros a los que vas a ceder los datos y las razones que te llevan a hacerlo.

e)  Informas de los derechos del usuario a:
a.  Solicitar el acceso a sus propios datos.
b.  Solicitar rectificación o supresión.
c.   Solicitar limitación de tratamiento.
d.  Solicitar oponerse al tratamiento.
e.  Solicitar portabilidad de datos.

Debes informar al usuario cómo puede ejercitar esos derechos.
Y de esta manera, cumplirías con lo que establece la norma.

¿Es farragoso?

Sí.

¿Es imposible?

No. Mira lo que dice la responsable de la AEPD.

¿Me pueden multar por no hacerlo?
Sí.

¿Van a hacerlo?

Parece poco probable que las cosas se queden así. Habrá modificaciones casi seguro. Lo que no puedo decirte es en qué sentido ni cuando.

Mi recomendación es que te pongas en manos de expertos para adaptar tu blog a cuestiones técnicas como David Olier. O que si quieres pasar del tema de redactar la política de privacidad y el Aviso legal , me mandes un correo y veamos qué podemos hacer.
¿Tienes más dudas?
Déjame un comentario, a ver si puedo ayudarte.
 

J.C. Sanchez
JC Sanchez
jcs@jcsanchez.eu
Sin comentarios

Publicar un comentario

A %d blogueros les gusta esto: