En el año 2018 entró en vigor el Reglamento Europeo de Protección de Datos que implicó cambios significativos para las pymes. Las modificaciones se incrementaron en 2021 tras la publicación de la Ley Orgánica 7/2021, de 26 de mayo, que supuso el deber de todas las empresas de actualizar sus contenidos. Ahora las pymes se preguntan si volverán a haber cambios, y cuáles son los cambios en materia de Protección de Datos para 2022
Contenidos
¿Qué es el RGPD?
RGPD son las siglas correspondientes al Reglamento General de Protección de Datos, la nueva normativa en lo que respecta a protección de datos que entró en vigor el pasado 25 de mayo de 2016, tras ser aprobada por la Unión Europea.
El objetivo detrás de este nuevo reglamento es regular, cuidar y proteger el uso que se hace de los datos personales por parte de usuarios, empresas e instituciones para que sus propietarios tengan más control sobre ellos. De esta forma, cualquiera que recoja y almacene datos personales tendrá que cumplir una serie de nuevos requisitos muy específicos.
Cambios más importantes en la RGPD
En 2018, se hace estrictamente obligatorio el cumplimiento de este nuevo reglamento y sustituye la legislación vigente en materia de protección de datos. Desde entonces, el nuevo RGPD es común a toda la Unión Europea así que, si tú o tu negocio se encuentra en este territorio o bien gestionas datos de ciudadanos europeos, deberás adaptarte a la nueva ley, sin excepciones y aceptar todos los cambios que propone.
Se endurecen las sanciones
La Agencia Española de Protección de Datos, a partir de la entrada en vigor de la Ley, obtuvo el poder de imponer sanciones de hasta el 4% de la facturación anual. Además, adquiere responsabilidades de carácter civil, penal y laboral, en el caso de producirse hechos de gravedad, cuya responsabilidad se traslada a los administradores.
Se aplica el Principio de Responsabilidad Activa (Accountability)
Las empresas deben adaptar sus procedimientos, documentación e instalaciones a la norma de LOPD. Ante cualquier reclamación o queja deben demostrar haber adoptado todas las medidas necesarias para evitar las incidencias, y para ello deberán ser capaces de probar que han realizado las gestiones oportunas.
Se establece la protección de datos desde el diseño y por defecto
La privacidad de los usuarios es fundamental. Las empresas deben determinar desde el primer momento qué medidas de seguridad tienen que implementar, según el tratamiento de datos que se vaya a realizar.
Se refuerza la exigencia del consentimiento
Deben hacerse mediante una declaración o acción informativa. Ya no sirve deducir el silencio o inacción como consentimiento.
Cómo te afecta el nuevo RGPD si estás en Internet
Cualquier formulario que aparezca en tu web, sea del tipo que sea, en el que recojas información personal de tus usuarios, tendrá que ser adaptado de tal forma que cumpla con el nuevo Reglamento General de Protección de Datos.
En caso de páginas webs o blogs no comerciales, que no generan ingresos, las formas más habituales de recoger datos personales y que deberás adaptar son:
- Los formularios de contacto
- Las casillas de comentarios de entradas
- Los formularios de suscripción a una newsletter
En caso de páginas webs comerciales o que generen ingresos directos o indirectos, la cosa se complica un poco más ya que será necesario cumplir con la LSSI-CE. Además, en estos casos, podemos encontrar formularios más complejos o mecanismos de pago para adquirir o contratar productos o servicios que exigen unas condiciones de contratación adicionales y un aviso legal.
En cualquier caso, recuerda que siempre que recojas información de carácter personal en tu web/blog, tanto si generas ingresos como si no, debes cumplir con el RGPD.
Adapta tu web o blog al RGPD
Para que tu web o blog cumpla con este nuevo reglamento, deberás:
- Facilitar de manera clara y explícita toda la información relativa a la recogida y uso de datos personales que se vayan a recoger.
- Habilitar una casilla de verificación obligatoria para que los usuarios den su consentimiento explícito para ese tratamiento y su aceptación de las nuevas políticas de privacidad.
- Recopilar y almacenar ese consentimiento explícito.
Pero, además, la información que proporciones deberá presentarse en 2 capas de la siguiente forma:
Primera capa: resumen de Privacidad, Aviso Legal y Cookies
En esta primera capa debemos incluir un resumen de la información sobre quién va a ser el responsable de los datos recopilados y con qué fin va a utilizarlos. En caso de que estos datos se cedan a terceros, será necesario indicarlo y, en caso de disponer de un DPO encargado de gestionarlos, también deberá aparecer su información y su contacto.
Además, tendremos que informar al usuario sobre los derechos que tiene para acceder, modificar o suprimir los datos que ha facilitado y añadir un enlace a una segunda capa donde conste toda la información completa y detallada sobre Política de Privacidad, Ley de Cookies y Aviso Legal que deberá estar alojada en nuestra web.
Esta primera capa informativa deberá aparecer en todos los formularios con los que recojas datos personales de los usuarios.
Segunda capa: documentación legal detallada
Cuando hablamos de una información en segunda capa, básicamente nos referimos a que debe estar presentada en una URL aparte y de forma detallada. La segunda capa deberá estar alojada en tu web, en una URL aparte, o bien en diferentes pestañas o en una única con cada uno de los apartados bien explicados y detallados, y deberá constar, por lo tanto, la información completa relativa a la Política de Privacidad, la Política de Cookies y el Aviso Legal.
Política de Privacidad
Se deberá detallar de qué manera el titular utiliza la información recopilada, la finalidad, el periodo de conservación de esos datos, la cesión a terceros (si la hay), etc.
Aviso y Política de Cookies
En la sección correspondiente a las cookies deberás incluir toda la información detallada relativa al uso de cookies propias o de terceros y la finalidad de las mismas. Sin embargo, esta información deberá estar detallada desde el momento en que el usuario accede al sitio web mediante una advertencia de la existencia de esas cookies (imagen) y un botón para que el usuario dé su consentimiento con un enlace a esta información detallada.
Aviso Legal
Deberá contener la información mínima necesaria para que el usuario sepa quién está detrás de la página web. Es decir, quién es el titular del sitio web y un teléfono y/o dirección de correo de contacto. El Aviso Legal, solo será necesario en caso de que en tu web exista una actividad comercial. Es decir, en aquellas páginas web que faciliten, publiciten u ofrezcan un determinado producto o servicio. Únicamente quedarán excluidos de esta obligación los blogs o webs que no realicen ningún tipo de actividad comercial.
Cómo obtener consentimiento explícito de tus usuarios
Además de las modificaciones y adaptaciones anteriores, para poder cumplir con el nuevo RGPD tendremos que obtener un consentimiento explícito del uso de los datos por nuestra parte así como la aceptación de las nuevas políticas de privacidad.
Para ello, aparte de incluir una coletilla con la información relativa al uso de los datos, tendremos que incluir una casilla de verificación obligatoria mediante la cual los usuarios puedan dar su consentimiento explícito del tratamiento de sus datos para los fines que hemos expuesto.
Esta casilla de verificación tendremos que incluirla en todos los formularios y es especialmente importante en los formularios de suscripción a una newsletter. En este caso, tendremos que almacenar los consentimientos correspondientes para de alguna forma demostrar que tenemos el permiso para utilizar los datos siempre para los fines que hemos expuesto.
Y si ya tenía antes datos de mis usuarios, ¿Qué puedo hacer?
Además de los pasos anteriores, enfocados principalmente en adaptar todos y cada uno de los formularios de la web con los que vayas a recoger datos, también tendrás que tomar medidas si quieres seguir utilizando esos datos que hubieses recopilado antes del RGPD.
Si haces uso de listas de correo para campañas de email marketing o envío de newsletters, por ejemplo, tendrás que enviar una nueva campaña a todos tus suscriptores. En ella deberás explicar cómo les afectan estos cambios en lo que a su privacidad se refiere y darles la opción de renovar su suscripción a tu lista de correo mediante una aceptación totalmente explícita del uso que le vayas a dar a sus datos.
Solamente si consigues un nuevo consentimiento claro y explícito de tus antiguos suscriptores podrás seguir haciendo uso de sus datos. Por tanto, tendrás que enviar una campaña de email a estos suscriptores para que renueven su suscripción y así conseguir su nuevo consentimiento, ahora sí, explícito.
Sanciones si no cumples la normativa
En el año 2021, España batió un récord en cuanto a sanciones por parte de la Agencia Española de Protección de Datos (AEPD), que propuso un 47% más de sanciones que en el año 2020. Los servicios de Internet y los ficheros de morosos son los servicios frente a los que se han impuesto más sanciones.
Las sanciones impuestas a las empresas por no cumplir con las obligaciones que supone la Ley de Protección de Datos pueden ser de 3 tipos: leves, graves o muy graves.
- Las infracciones leves oscilan entre 900 y 40.000 euros. Un ejemplo de infracción leve sería no inscribirse en el fichero de datos en el Registro General de Protección de Datos o facilitar a la AEPD información incompleta.
- Las infracciones graves conllevan multas de entre 40.001 y 300.000 euros. Un ejemplo sería que la pyme tratará datos personales sin el consentimiento expreso del usuario o utilizar un certificado que ha expirado.
- Por otra parte, las infracciones muy graves supondrá multas de entre 300.001 y 600.000 euros. Un ejemplo para que la pyme se encontrará ante una sanción de esta cantidad sería recoger datos de forma fraudulenta o ignorar las solicitudes de cancelación.
Como puedes apreciar, todos los negocios, en mayor o menor medida tienen que adaptarse a la Ley de Protección de Datos. Por eso desde Online Zebra te recomendamos contactar con un profesional que te asesore sobre cómo implementar en la documentación y procesos las mejoras para darle cumplimiento y evitar incidencias. Contacta con nosotros si quieres más información.
A pesar de todo lo negativo que esto pueda parecer, la lectura que debemos darle es otra muy distinta, ya que, ¿no es esta una buena oportunidad para limpiar nuestras listas de contactos y quedarnos con quienes son realmente afines a nuestro producto/servicio? Quien decida volver a regalarte su consentimiento, esta vez explícito, lo hará porque realmente está interesado y esto aumentará nuestras posibilidades de éxito.
Recuerda que esta información es importante si tienes presencia en internet y además sigues una estrategia de posicionamiento SEO o campañas de publicidad online.
0 comentarios