Pampua

Diseño web y marketing online

Por 2 comentarios

Apple Podcasts | Google Podcasts | Spotify | Pandora | RSS

Hoy vamos a hablar de  que es lo que hay que hacer en nuestras webs exactamente para cumplir con la normativa RGPD que entra en vigor mañana, pero antes, demos paso al patrocinador!!!!:

WebEmpresa, hosting especializado en WordPress.
Es el hosting que usamos nosotros desde hace tiempo
En pampua.es/webempresa te dejamos los 13 motivos que tienes contratarlo; échale un vistazo!
Además te damos un cupón del 20% de descuento. Entra ahora mismo en pampua.es/webempresa y guárdate tu cupón.

Si tienes un blog o un negocio digital donde recojas datos de carácter personal, el episodio de hoy te interesa mucho. Mañana entra en vigor el nuevo Reglamento Europeo sobre protección de datos y todos los que tenemos webs deberemos cumplir con una serie de directrices que hasta ahora no eran necesarias.

Muchos me preguntan por la necesidad y la urgencia de cumplir con esta ley. Pues has de cumplir con ella cuanto antes, por 2 motivos:

1.- Vas a transmitir más confianza (lo que ayuda mucho a vender más), a partir de mañana los usuarios van a ver claramente dos tipos de webs: Las que cumplen la RGPD y las que no. ¿En que grupo quieres estar?

2.- Si no lo cumples y te denuncian te pueden sancionar. 😔

Y te preguntarás, ¿tan graves serán las sanciones? …

La respuesta es SI, y mi consejo que “no te la juegues”. Porque a consecuencia de la reforma han aumentado las sanciones por incumplimientos en materia de protección de datos y las sanciones pueden llegar hasta el 4% de la facturación. Así no es algo para tomar a la ligera…

Veamos entonces con detalle qué novedades nos encontraremos a partir de mañana.

Pero primero de todo… ¿Qué es el RGPD, la LOPD y toda esta historia?

Probablemente te suene todo un poco complicado…, pero son temas que debemos tener en cuenta los que nos encontramos dentro de la Unión Europea.

Para que puedas entenderlo, la LOPD es la Ley Orgánica de Protección de Datos de carácter personal actual, que seguro te suena, y como bien sabes es una ley española.

Con este nuevo reglamento de protección de datos aparece también una nueva figura de autoridad que velará por controlar su aplicación. Se trata de un órgano independientemente creado por cada estado miembro que garantizará el cumplimiento de la normativa.

¿Cómo afecta la nueva ley de protección de datos a los que tenemos una web y qué medidas debemos implementar?

1.- Con el RGPD es necesario ampliar la información

Respecto a la obligación de información, tendríamos que hacer una comparativa con la LOPD actual y lo que se ha venido aplicando hasta ahora.

Hasta la fecha, esta información se hacía en una sola capa, por lo que básicamente venía a incluirse en la Política de Privacidad cierta información previamente a recoger los datos de carácter personal en los formularios de suscripción.

Con el nuevo Reglamento Europeo sobre Protección de Datos esta información previa a la recogida de los datos se intensifica y pasa a ser un tanto antiestética de cara al diseño.

Esta información se debe realizar en dos capas, algo parecido a lo que ocurre con las cookies con el típico aviso que nos encontramos al entrar en las webs.

La información debe ser fácil de entender, clara, concisa y bien estructurada. Tratando de evitar al máximo el abuso de citas legales.

En definitiva, que cualquier persona pueda comprenderlo sin necesidad de mucho esfuerzo ni conocimiento.

Puedes ver un ejemplo de este texto legal en en pampua.es/contacto.

La segunda capa, por tanto, es la Política de Privacidad propiamente dicha, donde se deberán recoger todos los aspectos que se establecen en el primer cuadro, y la cual estará enlazada desde el texto que hemos añadido debajo del formulario.

El resultado debería ser algo parecido a la política de privacidad de Pampua.

Precisamente, ayer WordPress notificó a sus usuarios con la versión 4.9.6 que debían crear una política de privacidad para sus páginas web (o seleccionar la página existente) Esto puedes hacerlo desde el nuevo menú Ajustes -> Privacidad.

2.- El nuevo reglamento de protección de datos exige un consentimiento expreso.

Igualmente vamos a ver una comparativa con lo que existían en la anterior Ley Orgánica de Protección de Datos y la reforma que se ha producido con el nuevo RGPD.

Con la antigua ley, lo que existían eran dos tipos de consentimiento.

  • Por un lado existía el consentimiento tácito, que es aquel que se concede cuando se acepta algo sin necesidad de hacer ninguna manifestación, sino que se realiza mediante acto o acciones que así lo indican.
  • Y por otro lado el consentimiento expreso, aquel que se manifiesta verbalmente, por escrito o por signos inequívocos.

¿Cómo podemos traducir esto al mundo online?

El consentimiento tácito, sería aquel que se otorga por el mero hecho de conceder los datos de carácter personal sin necesidad de realizar ninguna otra acción, por ejemplo con todos estas cajas de suscripción que siempre han existido y un famoso asterisco con el que aceptabas las políticas de privacidad.

El consentimiento expreso, se otorga al hacer click aceptando estas políticas.

Por lo tanto, ya se acabó el presuponer el consentimiento, o tener casillas “premarcadas”, sino que además, se nos exige el poder acreditarlo.

Estamos hablando de un campo nuevo como el que hay en pampua.es/contacto, que tendrá que estar desmarcado por defecto, y tendrán que activar para poder enviártelo.

Por tanto, según el nuevo reglamento de protección de datos, a partir de ahora es obligatorio que nuestros formularios cumplan dos requisitos:

  • Una casilla de verificación para aceptar las políticas de privacidad.
  • Doble opt in, es decir, ese correo que les llegará nada más suscribirse, donde tendrán un enlace/botón, para confirmar su suscripción.

La mayoría se cuestiona la necesidad de este correo, por temas de conversión, obviamente.

Siempre pongo el mismo ejemplo:

Imagina que un hater  se quiere suscribir a tu blog, y como correo electrónico, pone el de la Agencia Española de Protección de Datos (AEPD); al no haber “doble opt in”, le llegará tu autorresponder, o peor aún, correos comerciales que no ha solicitado, por lo que tu sistema de consentimiento estaría fallando, presentaría lagunas, y la sanción la tendrías a la vuelta de la esquina.

Esta es la forma de poder llevar a cabo y a buen puerto el consentimiento.

Este consentimiento debe ser específico, es decir, para un fin concreto que habremos establecido en nuestra información. Y debe ser verificable, es decir, que se nos exige la obligación de poder acreditarlo.

3.- El ámbito de aplicación del RGPD es global

Aquí viene una de las novedades más importantes con las que nos encontramos tras la reforma que entra en vigor recientemente.

Con la LOPD anterior, únicamente era de aplicación en países miembros de la Unión Europea. Pero a partir de mayo el ámbito de aplicación se amplía a todo el mundo. ¡Pero espera! que esto tiene su explicación…

Esto significa que  cualquier persona que trate datos de carácter personal de usuarios de la Unión Europea, se verá en la obligación de cumplir con el RGPD.

Por ejemplo, un colombiano que recoja leads de españoles, tendría que cumplir con el RGPD, y se le otorgaría potestad a la Autoridad de Control para reclamar y exigir ese cumplimiento.

Como veis, esto viene siendo algo serio, ya que se están ampliando las fronteras en cuanto a cumplimiento legal de la ley de protección de datos se refiere y empezarán a surgir convenios bilaterales entre países para exigir y perseguir esta obligación.

Entonces, los que estéis fuera de la UE os preguntaréis, ¿debo cumplir el RGPD o la ley de mi país?

Lo que viene a decir la norma es que tendrás que cumplir con el RGPD y nombrar a un representante en la Unión Europea que sea nexo de unión entre la Autoridad de Control, y tú.

No obstante, tendremos que dejar pasar un poco de tiempo para ver cómo se conjuga esta obligación, porque va a depender también de la cooperación entre diversos Estados, por lo que intuyo que a partir de ahora irán apareciendo convenios entre países y la Unión Europea para poder perseguir este tipo de conductas.

Por ahora no te alarmes porque es algo pendiente de desarrollar, y veremos cómo avanza, ya que técnicamente lo veo complicado de llevar a cabo.

En definitiva, deberás cumplir ambas normativas, es decir, la de tu país y la europea.

4.- Se debe incluir un aviso legal en los mails

También en los correos será necesario introducir una nota legal que informe al receptor del motivo por el cual lo está recibiendo y de la confidencialidad con que serán tratados sus datos.

Un ejemplo del texto que debería incluirse al final de cada mail sería:

“Estimado usuario, para mi es muy importante la privacidad, por ello, en cumplimento del nuevo RGPD te recuerdo que recibes este email porque te has suscrito de manera voluntaria a mi lista de correo electrónico. Tus datos se almacenarán en un fichero denominado “Usuarios Web y Suscriptores”, establecido en mi Registro de Actividades de Tratamiento, con la finalidad de enviarte correos electrónicos. Asimismo, te informo de que tus datos serán tratados con la mayor confidencialidad posible y que con tu aceptación estarías mostrando tu consentimiento a recibir correos electrónicos comerciales propios o sobre productos de terceros. En cada comunicación que recibas de esta web tendrás la opción de darte de baja de esta lista y revocar tu consentimiento”.

5.- Se debe realizar un registro de actividades para la Agencia Española de Protección de Datos

Como seguramente sabrás, actualmente existe la obligación de dar de alta un fichero a la AEPD para informar de los datos que recabamos en nuestro negocio.

A partir de ahora ya no será necesaria esta obligación, pero ello no significa que desaparezca por completo, sino que se sustituye por otra parecida.

En la actualidad, lo que tenemos que realizar o llevar a cabo es un registro de actividades de tratamiento donde la Agencia de Protección de Datos (AEPD), en su afán de facilitarnos las cosas y las tareas, ha creado una aplicación que se llama FACILITA.

Puedes aprovechar la herramienta para comenzar a realizar tu adaptación al Nuevo Reglamento Sobre Protección de Datos, donde nos creará de forma automática el registro de actividades de tratamiento.

No es más que hacer lo mismo que se hacía ante la Agencia Española de Protección de Datos pero registrado de forma interna, es decir, en tu propia documentación. Deberás establecer qué tipo de ficheros tienes, con qué finalidad los usas y durante cuánto tiempo los conservas.

Con esto se ahorran trámites burocráticos que antes se exigían, quedando la pelota en nuestro tejado en cuanto a cumplimiento se refiere.

Por tanto la herramienta FACILITA nos ayuda a “arrancar” con la Protección de Datos pero el documento que genera no es suficiente, tenemos que hacer también todos los textos que estamos viendo en este podcast.

6.- El RGPD exige modificaciones en los contratos con encargados de tratamiento

Es necesario hacer también retoques en este tipo de contratos.

En realidad, hay que establecer una serie de derechos y obligaciones que difieren de los que teníamos hasta ahora.

Pero, ¿quiénes son estos encargados de tratamiento?

Son aquellas personas que tienen acceso a los datos de carácter personal de nuestro negocio, y de nuestros clientes pero que no hacen uso de ellos, sino que únicamente los utilizan para las finalidades que tenemos encomendadas.

Por ejemplo, encargado de tratamiento podría ser nuestro gestor, que tiene acceso a los datos de los clientes para elaborar los impuestos, o un informático que revise nuestra web. Son personas que pueden tener acceso a esos datos pero que bajo ningún concepto podrán utilizarlos.

Tendríamos que rellenar el contrato estableciendo qué tipo de finalidades son las que se van a llevar a cabo mediante el tratamiento, y sobre todo, necesitamos  comprobar que se van a cumplir medidas de seguridad por parte del encargado de tratamiento.

De forma sencilla, ¿quieres saber cómo rellenar este contrato?. La Agencia Española de Protección de Datos (AEPD) ha elaborado una mega guía súper útil, échale un ojo porque viene bastante detallado. Al final se recoge un anexo que te puede servir de prototipo para realizarlo correctamente.

7.- Con el nuevo reglamento de protección de datos RGPD aparecen nuevos derechos

Con la Ley Orgánica de Protección de Datos actual tenemos los famosos “derechos arco” (Acceso, Rectificación, Cancelación y Oposición). A partir de ahora, con la reforma de la ley, aparecerán nuevos derechos.

Estos derechos serán:

  • El derecho a la portabilidad y no limitación del tratamiento
  • El derecho al olvido (que surgió tras una sentencia del tribunal de justicia de la Unión Europea contra Google).

Por lo tanto, tendremos que saber dar cobertura a estos derechos si es que nos lo solicitan nuestros clientes.

Igualmente, la Agencia Española de Protección de Datos tiene a tu disposición una infografía bastante sencilla para entender los nuevos derechos:

derechos rgpd

8.- El RGPD no quiere “coletillas legales”

Con la aparición del RGPD y las nuevas exigencias en lo que a la información previa se refiere, deberás revisar las coletillas legales que tengas establecidas en contratos, o en tu firma de email.

Para que puedas entenderlo, en los contratos, deberás establecer la información previa o primera capa antes de la firma, la que hemos visto anteriormente en la imagen de la Agencia Española de Protección de Datos, para posteriormente en un anexo, dejar establecida toda la segunda capa de privacidad.

Antes se establecía un pequeño párrafo referente a la privacidad, y con eso era suficiente. Ahora como ves, se refuerza la información respecto a la protección de datos.

Igualmente, deberás de revisar tanto en el correo de confirmación o “doble opt in” un texto donde recuerdes para qué finalidad usarás los datos, quién es el responsable del fichero y cómo recogerás esos datos.

9.- Ahora es necesaria una doble confirmación de suscriptores

Otra de las medidas que necesitarás implementar es enviar un email a toda tu lista cuando modifiques la política de privacidad y crear una automatización mediante la cual, si no aceptan el consentimiento, desaparecerán de la lista.

Muchos se llevan las manos a la cabeza con esto y se preocupan pensando que todo esto afectará a la conversión. Es algo que me preguntan muy a menudo…

Mucho se oye al respecto de “the money is in the list”.

Pero piensa, ¿para qué quieres una lista de 5.000 contactos si al final ni la mitad te leen ni tampoco quieren comprarte?

Mi consejo es: aprovecha este email para hacer limpieza de tu lista de contactos y de camino cumple con el RGPD.

10. Notificación de incidencias a la Agencia Española de Protección de Datos

Siempre es recomendable tener previsto un plan para la gestión de crisis. Tenemos que adelantarnos a los posibles problemas o violaciones de seguridad en los datos que pudieran surgir, y en caso sufrir este tipo de contratiempo (por un hackeo, por ejemplo), deberás  informar a la autoridad de control antes de las 72 horas siguientes, y a los afectados, en los casos que la Ley nos lo exija.

Un ejemplo de violación de seguridad en los datos podría ser una pérdida o robo de datos de tus clientes y/o suscriptores, o si tuvieras tu base de datos en Dropbox, si fuera hackeada.

Pero ¿cómo notifico esta incidencia a la Agencia Española de Protección de Datos? Desde aquí: https://sedeagpd.gob.es/sede-electronica-web/ en el apartado “notificación preceptiva de quiebras de seguridad”.

En cuanto a medidas de seguridad, te aconsejo que de vez en cuando eches un vistazo a la página del Instituto Nacional de Ciberseguridad donde aportan mucha información y muy visual también.

No está de más decir que es importante que entre otras medidas de seguridad a cumplir, tu negocio online disponga de certificado SSL, sobre todo si se realizan transacciones económicas.

Si quieres que te ayude a adaptar técnicamente tu web al RGPD, déjame un mensaje en el formulario de contacto y estaré encantado de echarte una mano con tus problemillas. Puedo orientarte con los textos, pero has de redactarlos tu. Si tienes una página en WordPress en un idioma, serían 60€.

Y si quieres que en próximos episodios hable de algún tema en concreto o tienes cualquier duda o comentario que quieras hacerme, déjamelo en Pampua.es/contacto, en los comentarios de iVoox, en twitter @pampua, o en nuestra página de Facebook: facebook.com/pampua

Si te ha gustado este episodio compártelo al menos con una persona a la que pueda resultarle interesante. Por whatsapp, por mail, por  Facebook, twitter o incluso por SMS, como quieras, pero compártelo! Recuerda que puedes escucharlo y suscribirte en iTunes, iVoox, Spreaker, Youtube y desde la web de Pampua.

Y por último estaré inmensamente agradecido si me dejas una reseña de 5 estrellas en iTunes o un me gusta y un comentario en iVoox. Puedes ver cómo dejar una reseña en www.pampua.es/resena

El jueves que viene trataremos un el tema de cómo redactar textos persuasivos que te ayuden a vender más, el famoso copywriting!

Muchísimas gracias por escuchar hasta el final, por comentar, por tus “Me gusta” y reseñas. Nos escuchamos la semana que viene con más y mejor!

Quizá te interese:

Aplicando formato al HTML para mejorar el diseño
La importancia de unas buenas fotos
La importancia de unas buenas fotos
marca personal
Destaca con tu marca personal, eres único!

Interacciones con los lectores

Comentarios

  1. Anibal Ardid dice

    Muy buen episodio y contenido !
    Una cosa, puede ser q te hayas olvidado el link al pdf q nombraste sobre los cambios en los mails sino recuerdo mal q hablaste de eso ?

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.