¿Cómo saber si mi empresa se ajusta a la nueva normativa de protección de datos?

Que levante la mano todo el que lee las políticas de privacidad antes de completar un formulario. ¿Y cuándo hace una compra online? ¿Alguien en la sala que haya leído todo lo que hay tras el botón “leer más” de la política de cookies de cualquier página? Nos hemos dejado arrastrar por el torrente de la inmediatez en este río llamado progreso digital, y somos demasiado “inmediatos” para tener tiempo de leer unas tediosas y largas líneas, generalmente con términos legales inteligibles.

Sin embargo, todo lo anterior no es excusa para que las empresas incumplan su deber de proteger los datos personales de sus clientes, el oro del siglo XXI, mucho más liviano que el de antaño y enormemente frágil. Nuestra misión aquí, como agencia de marketing digital, es asesorar a las empresas en la mejor forma de adaptarse a la nueva normativa europea en todos sus canales.

Los ciudadanos somos conscientes de que nos tomamos a la ligera la aceptación de las políticas de privacidad mientras navegamos por la web. Hasta que llega el titular de prensa en medio mundo:  “Datos de millones de usuarios de la red de Mark Zuckerberg fueron usados a discreción para las campañas presidenciales norteamericanas”. Escándalos como el de Facebook hace unas semanas constituyen un drástico aldabonazo para recordarnos que nuestra huella digital es tan grande… que no sabemos hasta dónde llega ni quién le está siguiendo el rastro.

Mucho antes del incidente del gigante digital, y a sabiendas de la cantidad de datos personales que se manejan de manera casi inadvertida para el usuario, vino Europa en 2016 a decir: “Un segundo, señores, que esto hay que ordenarlo”. Y dictó el Reglamento General de Protección de Datos (RGDP). A muchas empresas se les ha pegado el arroz y aún andan atareados poniéndose al día. El próximo 25 de mayo entra en vigor en España y ya no hay vuelta atrás, ni segundas oportunidades para los incumplidores. La Unión Europea y sus gobiernos van a poner cuidado en que nadie se extralimite en el uso de los datos personales con un sistema para su tratamiento más comprometido, más transparente y  más garantista, que es de aplicación para todas las empresas que utilicen información de ciudadanos europeos, incluida Facebook.

Da igual el tamaño, todas las empresas que ofrecen productos y servicios a ciudadanos de la Unión Europea, deben cumplir con la nueva normativa RGDP.

Cuestiones clave del RGDP

¿A qué empresas afecta el nuevo Reglamento General de Protección de Datos? Prácticamente a todas. A todas las empresas, da igual su tamaño, que ofrezcan productos y servicios a los usuarios de la Unión Europea, estén o no dentro de la Unión.

¿No teníamos ya una Ley de Protección de Datos? Sí, pero el nuevo RGPD europeo introduce algunos cambios: se otorga mayor poder sobre los datos personales a los propios ciudadanos y se simplifica la burocracia. Que todos sepamos quién tiene qué datos de quién, dónde los guarda y para qué los usa.

¿Y qué pasa si mi empresa incumple la nueva normativa sobre protección de datos? Que su empresa se enfrentará a multas y sanciones que pueden elevarse hasta los 20 millones de euros, o, al menos, a una cuantía equivalente al 4% de su volumen de negocio.

Las empresas que incumplan el Reglamento General de Protección de Datos se enfrentan a multas de hasta 20 millones de euros.

Cómo afecta el RGDP a la presencia digital de las empresas

Como agencia de marketing digital, es nuestro deber informar a nuestros clientes de la necesidad de adecuar con urgencia sus formularios web, sus listas de email marketing o sus políticas de privacidad en sus diversos canales para adecuarlas a la nueva norma. La mejor forma es hacerse unas cuantas preguntas:

  • ¿Estoy ofreciendo al usuario en mi web información completa sobre el uso que hago de los datos que comparte conmigo? Esto incluye qué datos recojo, cómo serán tratados, para qué fin, quién es el responsable de su gestión, durante cuánto tiempo los voy a conservar, cuáles son sus derechos de acceso, de rectificación, de supresión, etc.
  • ¿Se lo explico con un lenguaje claro, sencillo e inteligible?
  • ¿Le informo de todos los datos personales que estoy recogiendo? ¿Incluidos los datos de navegación que guardan las famosas cookies?
  • ¿Me han dado los usuarios su consentimiento expreso y manifiesto? ¿O lo he dado por hecho? ¿Puedo demostrar que el usuario lo ha confirmado de manera voluntaria, libre e inequívoca como quiere la Unión Europea?
  • ¿Tengo los datos de mis clientes alojados en un servidor extranjero? ¿O vuelco esos datos en una herramienta alojada fuera de la UE? Si es así, ¿me han dado mis contactos su consentimiento expreso para esa transferencia de datos? ¿Cumple la empresa de alojamiento con el RGDP?

La respuesta a estas preguntas nos dará las claves de cuánto trabajo nos queda por delante para adaptar nuestra empresa a los nuevos requerimientos y conviene ponerse en manos de un buen asesor legal en la materia. Sin embargo, hay algunas cuestiones clave, fáciles de identificar, que podemos adaptar fácilmente desde ya.

Cambios esenciales en los formularios web

Una de nuestras labores fundamentales como agencia de marketing digital en este tránsito es ayudar a las empresas a adaptar sus formularios digitales. Hay que eliminar definitivamente todos los registros de contactos automáticos. Es decir, no basta con que el usuario introduzca un correo para descargar un e-book, suscribirse a una newsletter o solicitar un servicio. Es imprescindible que dé su consentimiento explícito al tratamiento de sus datos. Así que, ya no se hará la vista gorda con los formularios que no incluyen una casilla de aceptación (checkbox) de la política de privacidad para completar la acción o suscripción.

La nueva normativa de protección de datos no hará la vista gorda: todos los formularios web deben incluir la casilla de aceptación de la política de privacidad.

Una de las novedades que introduce el RGDP es cómo ha de presentarse la información sobre el tratamiento de los datos personales. El reglamento exige que se haga de una manera clara, sencilla y sobre todo comprensible y eso implica que la proporcionemos por capas: un primer nivel donde se ofrece la información esencial y un segundo nivel con todos los detalles.

El formulario web debe incluir de manera resumida los principales aspectos de la política de privacidad de la empresa #RGDP

En la práctica, esto significa que en el propio formulario se debe incluir, de manera resumida, los principales aspectos de la política de privacidad de la empresa (primera capa informativa). Junto a ella se habilitará un enlace a la página donde se encuentra toda la información completa y detallada. El objetivo no es otro que el usuario sepa a grandes rasgos el tratamiento que se va a dar a su correo, su teléfono o sus datos de navegación web. Dicho de otro modo, es una forma de proteger a los ciudadanos de su propia irresponsabilidad de firmar sin leer.

En este último punto es donde la agencia de publicidad deberá demostrar sus dotes creativas, para que esta primera capa informativa se muestre lo más atractiva posible. He aquí un ejemplo de lo que debería recoger:

Epígrafe Información básica

(1ª capa resumida)

Información adicional

(2ª capa detallada)

“Responsable”

(del tratamiento)

Identidad del responsable Datos de contacto del responsable
Identidad y datos de contacto del representante
Datos de contacto del delegado de Protección de Datos
“Finalidad”

(del tratamiento)

Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles Descripción ampliada de los fines del tratamiento
Plazos o criterios de conservación de los datos
Decisiones automatizadas, perfiles y lógica aplicada
“Legitimación”

(del tratamiento)

Base jurídica del tratamiento Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo
Obligación o no de facilitar datos y consecuencias de no hacerlo
“Destinatarios”

(de cesiones o transferencias)

Previsión o no de cesiones Destinatarios o categorías de destinatarios
Previsión de transferencias, o no, a terceros países Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables
“Derechos”

(de las personas interesadas)

Referencia al ejercicio de derechos Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento
Derecho a retirar el consentimiento prestado
Derecho a reclamar ante la Autoridad de Control
“Procedencia”

(de los datos)

Fuente de los datos (cuando no proceden del interesado) Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
Categorías de datos que se traten

Se informa en una primera capa de los aspectos básicos y más relevantes, y se proporciona enlaces para ampliar esa información en una segunda capa correspondiente a la política de privacidad.

¿Qué debe incluir ahora la Política de Privacidad?

Para actualizar correctamente tu política de privacidad, nuestra recomendación como agencia de marketing digital es que consultes a tu asesor legal. No obstante, la Agencia de Protección de Datos ha habilitado una herramienta gratuita muy útil para que puedas comprobar si tu base de datos se ajusta a los nuevos requerimientos: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php

En cualquier caso, os resumimos aquí brevemente algunos aspectos clave que debería incluir:

  • Debe indicar expresamente que cumples y te sometes al RGPD.
  • Debe especificar qué información recoges de los usuarios (por ejemplo, sus direcciones IP, desde qué tipo de dispositivo navegan, cookies, duración de la visita y páginas visitadas, su email, teléfono, nombre, dirección de envío y dirección de facturación, etc.).
  • Especificar quién, además de ti, tiene acceso a la información que guardas de tus usuarios (como por ejemplo Google, Mailchimp, Disqus…) Todos ellos son destinatarios de la información de tus usuarios y deben quedar consignados en tu Política de Privacidad.
  • Especificar la identidad del responsable de la gestión de los datos personales.
  • Especificar que los usuarios tienen derecho a solicitar al responsable el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
  • Especificar la finalidad que vas a dar a los datos recogidos, y durante qué plazo vas a guardarlos.
  • Por último, si hay procesos automatizados como por ejemplo meter a un usuario en un segmento u otro de tu lista según qué acciones hayan realizado, esto debe estar explicado, siempre que vaya a tener consecuencias jurídicas para el afectado.

Marta Amanda García, Departamento Digital de Portavoz