¡SPOILER! TODO LO QUE UN ESCRITOR NECESITA SABER SOBRE LA LOPD

Si tienes un blog, redes sociales o navegas habitualmente por la red (y es raro, hoy en día, la persona que no lo hace con independencia de su profesión o edad), seguro que has visto estas siglas alguna vez: “LOPD”.

¿Quién es esta señora, o señor, con letras gordas y pinta de sabelotodo?

Las siglas corresponden a la Ley 15/99 de 13 de diciembre de Protección de Datos de Carácter Personal.

Así, todo junto y sin que ningún número o palabra se pueda quitar.

No te preocupes, no te voy a abrumar mucho con números y leyes, términos jurídicos imposibles de entender… bueno, solo un poquito más. Je, je.

La norma que desarrolla y hace un poquito más “puñetera” o “protectora”, depende de con quién hables, a esta ley es el RD 1720/2007 de 21 de diciembre. (RD: Real Decreto que a veces se me olvida que no tienes porqué saberlo).

LOPD-SEGURIDAD-DATOS

Ahora vamos dejando una huella digital cada vez que usamos la red y no se tienen muchos derechos para proteger nuestra privacidad. Veremos con esta nueva regulación.

Y tú dirás: ¿Para qué me cuentas este rollo, JC?

Pues mira sala@, el tema reside en que como miembros de la UE tenemos la obligación de transponer (adaptar e incorporar), a nuestra legislación, los acuerdos alcanzados por los estados miembros.

Ya ¿Y qué?

Pues que el Reglamento de Protección de Datos se aprobó en 2016.

Pero por estas cosillas de “no he tenido tiempo aún”, “déjame un ratito más, que aún es muy temprano” y estas cosas que seguro conoces de primera mano, se ha ido dejando, se ha ido dejando, hasta que los que mandan se han puesto serios de verdad y han dicho; propinando un puñetazo, después de subir la manga de sus trajes caros y camisas de gemelos relucientes, sobre sus mesas de madera noble:

“pal 25 de mayo de 2018, dios mediante (porque ellos son muy de nombrar a dios en estas cosas), me lo tenéis todos adaptado el reglamento y puesto en marcha en vuestros países”.

“¿Y si no lo hacemos?” (preguntó algún despistado. Seguramente con barba. O a lo mejor griego o italiano, no sé).

“Pues os meto un puro de mil pares u os mando a los men in black para que terminéis de haceros caquita en los pantalones. ¿Estamos?”

Y claro, con semejantes argumentos y alarde de diplomacia, pues todos se han apresurado a manifestar en un perfecto inglés, llenos de gozo y alegría:

“Nos adaptamos, nos adaptamos”

Y después han cantado llorosos: “Yo tengo un gozo en el alma…grande…gozo en el alma…”

Yo me los imagino a todos así en el hemiciclo. Di la verdad, a partir de ahora no los verás igual cuando salgan por la tele. Puedes maldecirme si quieres.

¿A qué te obliga la LOPD hasta ahora?

En función de los datos que recabas en tu blog/web, hay tres niveles:

·      Bajo

·      Medio

·      Alto

En cada nivel se exige una medida de seguridad y la ley obliga a todas las empresas y personas a cumplir con esas medidas. No las pongo todas porque sería largo (básicamente sería un coñazo de leer y no quiero que salgas corriendo porque me aumenta la tasa de rebote en el blog y luego a ver cómo lo apaño) pero te señalo alguna, por ejemplo:

1.    Recoger solo los datos necesarios para cumplir con los fines para los que son requeridos.

2.    Especificar qué datos se recogen y para qué.

3.    Avisar al usuario de que tiene a salvo su derecho de acceso, rectificación o cancelación.

4.   Facilitar al usuario un contacto para que pueda ejercitar sus derechos o incluso revocar el consentimiento ofrecido.

5.    …tranquilo, te había dicho que pondría algunas como ejemplo ;P

¿Y cómo se hacía todo esto?
Mediante la redacción de un texto legal/aviso legal/política de privacidad, que incorporabas como información a los usuarios de tu web/blog.

¿Te suena?

Además la AEPD (no salgas corriendo ni apagues el ordenador que no te van a saltar los GEO por la ventana ya que estas siglas no corresponden a ninguna facción de la DEA, ni sale en “Narcos”, sino que son las siglas de Agencia Española de Protección de Datos) obligaba a que esos datos, los del usuario al registrarse, fueran subidos en un fichero a su Registro.

Pero esto ya lo hacías ¿A que sí?

Claro, claro.

Bien.

Perdona, pero no te lo crees ni tú.

Pues ahora, este organismo ha facilitado a los usuarios varios programas para ayudarles a adecuarse a la nueva situación:

Te va a parecer una tontería lo que te voy a contar a continuación, pero al terminar de leer te vas a dar cuenta de que no lo es.

Por un lado tienen la herramienta Facilita RGPD.

Es gratis, tranquilo.

En tres pantallas llenas de preguntas, vas a saber si cumples con los requisitos o si por el contrario te toca hacer un análisis de riesgos.

Esta herramienta no es para datos de alto riesgo, pero salvo que estés recabando información en tu web sobre la salud de las personas, tranquilo, lo tuyo son cosas de andar por casa. Puedes usar la herramienta.

Programa EVALUA.

Es un autotest de 45-60’ para conocer si se cumple de manera correcta con la LOPD.

Al terminar genera un informe con indicaciones al respecto.

DISPONE.

Viene referida a los ficheros de titularidad pública.

Y toda esta movida ¿Por qué?

Pues porque a día de hoy, nuestros datos circulan por ahí sin control alguno por redes sociales, empresas de venta on line, webs por las que navegamos, suscripciones que realizamos y empresas de servicios varias sin que podamos hacer mucho por evitarlo. Ahora, sí podremos.

Al menos desde el punto de vista legal.

Entonces…

¿Tengo que mandar al carajo el texto que tengo publicado en mi web y hacer otro?
Tranquilidad en las masas. Todo, todo, igual no.

De todas maneras, si te parece un coñazo infumable y quieres que te ayude a redactarlo, puedes escribirme y vemos cómo puedo ayudarte.

Circulan por ahí informaciones interesadas y artículos poco serios los cuales hablan de una supresión de la LOPD por una ley nueva. Esto no es correcto.

El nuevo reglamento europeo (bueno, nuevo de hace dos años. Mira lo nuevo que puede ser) viene a ampliar la seguridad y los derechos en el tratamiento de nuestros datos personales.

¿A quién se aplica?

A todas aquellas empresas y/o personas que traten datos personales dentro de la UE.

También a aquellas que, aún no estando dentro de la UE, usen datos para ofrecer bienes y servicios a ciudadanos de la UE.

Te pongo un ejemplo que seguro te va a resultar más sencillo.

Un escritor tiene una web. Está afincado en Argentina pero vende libros y cursos de formación a ciudadanos de la UE.

¿Estaría obligado?

Respuesta: SI.

¿Qué novedades se incorporan a partir de mayo de 2018?

1.    Se exige que el consentimiento requerido en la cesión de los derechos sea manifiesto e incuestionable. Además debe poder ser verificable y aquel que recopila los datos, debe poder probar que el usuario dio su consentimiento de manera: libre, informada, específica e inequívoca.

2.    Se debe incluir una serie de informaciones en las que se le explique al usuario la base legal para tratar los datos, por cuánto tiempo se van a retener los mismos y la posibilidad de acudir a las autoridades de protección de datos (AEPD) caso de que alguna cosa no esté de acuerdo y no se atiendan sus requerimientos. Todo ello además explicado con un lenguaje sencillo y claro. Que muchas veces los abogados y los licenciados en derecho nos ponemos de un “estupendo” en verborrea legal, que asusta.  Pensamos que nos entiende todo el mundo, cuando lo cierto es que nadie se enteró de nada.

3.    Solo se recogerán los datos necesarios para el desempeño de las funciones indicadas. Me explico: para la venta de un libro, el vendedor no necesita conocer la filiación religiosa del comprador o su grupo sanguíneo. (Te parecerá coña, pero te sorprendería saber los datos que se han ido dejando por ahí)

4.    Incorpora dos nuevos derechos para los usuarios que antes no se mencionaban:

a.    Derecho al olvido. El usuario puede solicitar que sus datos personales sean suprimidos.

b.   Derecho a la portabilidad. Se podrá requerir los datos digitalizados en un formato que permita su traslado a otro responsable de tratamiento de datos.

5.  Se habilita una ventanilla única, una única autoridad para la protección de datos. Esta tendrá  coordinación con la habilitada en el resto de países de la UE para favorecer la coordinación en el tratamiento de las controversias.

6.   El último sería la aparición de la figura del Delegado de Protección de Datos. (Alguna vez lo verás reflejado en algún texto por sus siglas DPD). Es el profesional que se encarga de velar por el correcto cumplimiento por parte de las empresas de la normativa de protección de datos. Pero en muchos de los casos de quienes leéis esto ahora, estoy seguro de que vais a ser vosotros mismos y no podréis delegar esta función.

Antes lo he mencionado de pasada, pero ahora me detengo un poquito más porque las noticias han bombardeado con las acciones de los estados contra grandes empresas del mundo tecnológico durante mucho tiempo. Empresas como Google, Amazon, Facebook, etc,  por el tratamiento de los datos y determinadas prácticas, digamos, un pelín chungas.

Me estoy refiriendo a las demandas que han sufrido por vulneración de la privacidad de los usuarios, invasión de determinados espacios de la vida privada de las personas, la no comunicación de datos a los estados cuando estos se lo han requerido, los problemas de competencia de los mismos por la situación de los servidores en los cuales se alojaban esos datos…

Tanto en el caso de EEUU, como en el de Reino Unido, que sé que alguno me lee desde allí, hay que esperar un poquito más a que la UE se pronuncie y se lleguen a ciertos acuerdos.

Sobre todo me refiero ahora a Reino Unido por toda la movida que se ha montado en cuanto a su situación política por el tema del Brexit.

No parece que vaya a haber mucho problema. Sobre todo si observamos la situación que tienen otros países que no pertenecen a la unión como es Suiza. Pero claro, Suiza es especial, ellos tienen la pasta ;P ¡Es broma!

Suiza no es miembro de la UE, pero tiene un acuerdo con ella por el cual se reconoce que su sistema de protección de datos es adecuado.

Ventajas de ser neutrales en todo… sueldos aparte. 😉

 

Un último tema que quería comentarte antes de terminar es el de las sanciones.

SANCIONES

Todo el mundo sabe que no cumplir con las normas acarrea consecuencias normalmente desagradables.

En este caso no iba a ser menos.

Si se te ha pasado por la cabeza ir al tran tran con este tema y dejarlo correr, no lo haría.

Y te digo porqué.

La ley española establece una gradación de infracciones en su Art. 45:

·      Leves: 900-40.000€

·      Graves: 40.001-300.000€

·      Muy graves: 300.001-600.000€

Pero esto no se queda aquí porque el Reglamento de la UE habla en su Art. 83 de sanciones:

·      Individuales

·      Efectivas

·      Proporcionadas

·      Disuasorias (vamos que lo son)

Reflejan multas económicas según la infracción de entre 10.000.000-20.000.000€ mirad bien los ceros que no me he equivocado al ponerlos. O entre un 2-4% del volumen de negocio total anual global del ejercicio financiero anterior.

Se elige entre la cifra resultante de mayor cuantía.

No es para menos. Mejor cerrar la boca porque si la dejamos abierta puede salir de ahí sapos y culebras. Pero yo no tengo la culpa, recuérdalo.

Si esto te parece una tontada, me daría una vuelta por la web de los diarios EXPANSION y CINCO DIAS, como sabes vinculados al mundo de los negocios, que han hecho hincapié en este tema resaltando en titulares y cuerpo de noticia las sanciones de la UE por encima de las de la legislación española. Por algo será.

¿Qué? ¿Vas a tardar mucho en adecuar tu blog/web a las exigencias de la normativa?

Yo podría ayudarte si lo necesitas y no sabes cómo hacerlo.

Déjame un comentario si tienes dudas o ponte en contacto por correo conmigo y lo hablamos.

Si piensas que este post puede ayudar a algún amig@ no lo dudes, compártelo en tus redes. Seguro que te lo acaba agradeciendo. Y yo también, por supuesto.

 

J.C. Sanchez
JC Sanchez
jcs@jcsanchez.eu
8 Comentarios
  • Fani
    Publicado a las 12:02h, 21 enero Responder

    Buenas:
    Yo tengo una duda, hasta hace poco no me había preocupado por la protección de datos de mi blog porque no pedía ninguno, pero he empezado una lista de correo con Mailchimp, ¿debo hacer algo o al tratarse de una aplicación externa no tengo de qué preocuparme? En mi blog no vendo nada y en la lista solo pido un nombre y el correo.
    Muchas gracias y un saludo,
    Fani

    • JC Sanchez
      Publicado a las 09:35h, 22 enero Responder

      Hola, Fani.
      Yo no me referiría al hecho como para “preocuparme” sino más bien como para “ocuparme” 🙂
      Perdona, la broma.
      Según la ley, los administradores del blog son los responsables del tratamiento de los datos solicitados desde el mismo. Aunque luego, como es el caso, se ceda a terceros. Mailchimp, que pertenece a una compañía americana y tiene sus servidores en EEUU, tiene una política legal de tratamiento de datos y suscribió el acuerdo llamado (Privacy Shield). Creo, que debes avisar a tus lectores con un pequeño texto en el cual se diga precisamente esto, que se recogen los datos para una finalidad concreta: una lista de correo. Que lo haces a través de Mailchimp que es una compañía americana con sede en…y que cumple la política de protección de datos como refleja en su propia página. No hace falta vender nada en un blog, simplemente con esa recogida de datos “menor” nombre y mail (datos de escaso riesgo) ya vienes obligada a informar al usuario de quién recoge esos datos, para qué y dónde van.
      De hecho, la directiva de la UE habla de que sus términos son de obligada aplicación para “aquella información de una persona física identificada o identificable”. Y el ambito de aplicación de la LOPD en su artículo 2.1, creo que no deja lugar a dudas.
      No obstante, para evitar cualquier susto desagradable, procedería como comento en el artículo:
      -Para qué recoges los datos.
      -Correo electrónico para que todos aquellos que quieran puedan comunicarse contigo (como administradora del blog) en caso de querer ejercitar sus derechos de acceso, cancelación, rectificación…
      -Identificación de la empresa que dirige Mailchimp
      -A partir de mayo, será obligatorio comunicar esos datos a la AEPD. Proceder con el listado y comunicar el archivo de manera telemática (es más rápido).
      Espero haberte ayudado.
      Gracias por pasarte, leer el artículo y dejar el comentario. Cualquier duda, por aquí me tienes.
      Un saludo.

  • Ramón Márquez
    Publicado a las 11:37h, 23 marzo Responder

    Madre mía caballero, para que luego digan que tener un blog es sencillo. No acabo de entenderlo bien, me sucede como a la compañera de arriba. Yo simplemente tengo lista de subscripción para que los suscritos reciban las novedades del blog y ya está. Entonces… tendría que hacer esto también?:

    “-Para qué recoges los datos.
    -Correo electrónico para que todos aquellos que quieran puedan comunicarse contigo (como administradora del blog) en caso de querer ejercitar sus derechos de acceso, cancelación, rectificación…
    -Identificación de la empresa que dirige Mailchimp
    -A partir de mayo, será obligatorio comunicar esos datos a la AEPD. Proceder con el listado y comunicar el archivo de manera telemática (es más rápido).”

    Lo mejor de todo es que apenas tengo subs, que lio, jeje. Entonces, tendría que crear una página que hable de temas legales y ponerla accesible desde el menú, por ejemplo? Si, soy negado total. Muchas gracias de antemano por las respuesta!

    • JC Sanchez
      Publicado a las 13:37h, 23 marzo Responder

      Hola, Ramón Márquez.
      Gracias por comentar.
      No, jajaja, sencillo no hay nada en esta vida.
      Con respecto a tu pregunta, me temo que sí, deberás hacerlo. Si tienes una lista de suscriptores para enviar mailing informando de tus actividades, etc…estás recabando datos y por lo tanto nº 1:
      _ Deben saber para que lo haces.
      -Qué vas a hacer con esos datos.
      -Cómo los vas a proteger.
      -Identificar el gestor de email marketing para que el usuario pueda ejercitar los derechos que le reconoce la ley en caso de necesidad.
      -Y tú mismo por idéntica razón que la anterior.
      Por lo que puedo ver en tu blog, hay cosas positivas y algunas no tanto.
      Bien por proteger con safecreative el contenido de tu blog. Punto positivo.
      Te falta implementar el aviso legal, el texto de la política de cookies y la politica de privacidad.
      En el box de la suscripción, deberías implementar un boxcheck, además del suscríbete en el que el usuario admita y reconozca que ha leído el aviso legal y la política de privacidad y que por eso quiere suscribirse.
      Y sobre la comunicación a la AEPD, me temo que es así.
      Espero haberte ayudado.
      Un saludo.

      • Ramón Márquez
        Publicado a las 22:01h, 24 marzo Responder

        Muchas gracias por responder Jc! Mi plantilla no da esas opciones del boxcheck en el módiulo de subscripción, lo acabo de mirar. Crearé una página y un enlace fijo que vaya a ella, para quitarme parte del problema,
        He estado buscando en internet y he encontrado esto, es una “plantilla” base que teóricamente puede usarse, sobre la política de privacidad:

        https://www.incibe.es/extfrontinteco/img/File/empresas/dosieres/protege_tu_web/protege_tu_web_leyenda_lopd_web.pdf

        Si pudieras decirme que puedo utilizarla si problemas, sería genial. En cuanto al Aviso legal, sabes de donde puedo sacar una plantilla del texto similar, y siendo legal? Sinceramente, ahora mismo, teniendo en cuenta que el blog no es solvente, no me va nada bien tirar de abogado. Por eso me gustaría saber si hay medios gratuitos para estar al día, cumpliendo la normativa.
        DIos, estas cosas siempre me repatean, jeje. Aunque el conocimiento es bueno, aprenderlo puede ser un asco.
        Otra pregunta posiblemente tonta es como apuntarse a la AEPD.
        No pretendo ser pesado, pero considero que estas cosas son importantes, para no llevarte sustos innecesarios. SI pudieras ayudarme un poco más, te lo agradecería.

        Muchísimas gracias por todo! ; )

        • JC Sanchez
          Publicado a las 08:17h, 27 marzo Responder

          Bueno, Ramón. La verdad es que son muchas preguntas en un comentario. Lo cierto es que daría para una asesoría, que es a lo que me dedico yo 🙂
          No obstante, y aunque me temo que no puedo responderte en profundidad a todas porque el espacio no da para ello, voy a intentar solucionarte alguna.
          Por lo que respecta al INCIBE puedes estar tranquilo. Es uno de los organismos que se dedica a la seguridad en la red y por tanto no vas a tener problemas con las recomendaciones emanadas desde allí. Es cierto que la plantilla es un poco corta, pero contempla los elementos básicos que marca la ley para un texto sobre política de privacidad.
          Con respecto al resto de textos, no puedo ayudarte en cuanto a recursos gratuitos. Además, no sería del todo “ético” por mi parte porque, como te digo, es una de las cosas a las que me dedico. Uno de los servicios que ofrezco desde este blog es la redacción y revisión de textos de carácter legal. No tendría mucho sentido derivarte a recursos gratuitos que en algunas ocasiones pueden estar no actualizados y generar un problema que luego puedas reclamarme.
          Con respecto a la AEPD, he visto que hay muchos lectores de este blog que como tú tienen esa misma duda. Para próximas entradas en el blog prepararé un tutorial, aún no sé si con pantallazos o grabado para que podaís seguir paso a paso la dinámica de comunicación de datos a la AEPD. En el fondo no tiene mucho misterio pero como siempre en esta vida, hay que saber hacer las cosas y no tenemos porqué saber hacer de todo.
          Muchas gracias a ti.
          Un saludo.

  • Ramón Iglesias Rodriguez
    Publicado a las 11:44h, 23 marzo Responder

    Hola, y gracias por el interesante artículo.
    Yo no vendo nada ni tengo una lista de correos, solo tengo el típico formulario de blogger que solicita: Nombre, correo y pregunta.
    Solo lo quiero para que se comuniquen conmigo. Si elimino ese formulario, ¿Solucionaria el problema de la ley de datos?
    Muchas gracias anticipadas.

    • JC Sanchez
      Publicado a las 13:28h, 23 marzo Responder

      Hola, Ramón.
      Muchas gracias por el comentario y por pasarte por el blog.
      La LOPD se encarga de regular la gestión de los datos personales solicitados por terceros. Si no los pides, como bien dices, no tienes nada que “declarar” frente a la AEPD.
      Ahora bien, eso es una cosa, en cuanto a la petición de datos para tener por ejemplo una lista de correo y otra distinta es todo lo que tiene que ver con la “politica de privacidad” el uso de “cookies” y el “aviso legal”.
      En el primer caso estaríamos en las mismas si no recabas datos, pero debes tener en cuenta que tu blog, tendrá un plugin que permitirá realizar comentarios a tus usuarios y por esa acción estarás solicitando un nombre o nick y una dirección de correo electrónico por lo que debes informar a tus usuarios de qué es lo que haces con esos datos y quién es el que almacena los mismos. Si ese quién eres tú, pues deberías cumplir con lo que dice el post y comunicarlo a la AEPD.
      Espero haber solucionado tus dudas.
      Un saludo. Y regresa cuando quieras 😉

Publicar un comentario

A %d blogueros les gusta esto: