Ha llegado el momento. Dos años tras la aprobación oficial del Reglamento General de Protección de Datos de la Unión Europea (más conocido como RGPD o GRPD en inglés), la norma entra en vigor. Lo hace a partir del día 25 de mayo de 2018, y es de vital importancia que tu página web, servicio online o empresa de Internet que trate con datos de usuarios sea acorde a la ley para evitar problemas. Y con problemas nos referimos a grandes multas. No te preocupes porque hay varias herramientas para lograrlo. Sigue estos pasos para saber qué ha de cambiar para cumplir la RGPD.
A estas alturas ya sabrás que el RGPD es una norma europea que se aplica a toda la Unión Europea. Una norma general que, después, ha de regirse por leyes más concretas. Todo ello con la misión de proteger los datos de los usuarios de Internet dentro de Europa, evitando que sus datos sean comercializados o usados sin su consentimiento. Así que, a partir del 25 de mayo, hay que informar a estos usuarios sobre qué datos se recogen, quiénes son los propietarios de esos datos, qué se va a hacer con ellos y cómo se están tratando. Si no es así, habrá que acatar las multas y penalizaciones que regula el RGPD.
Además, hay más normativa europea en camino. Hablamos del Reglamento de Privacidad Electrónica, también conocido como ePrivacy. Se trata de una ley más dura y centrada en la protección de datos de usuarios. Afecta, tal y como indican desde este artículo de 1and1, a las empresas y también a los proveedores de servicios como WhatsApp. Eso sí, de momento esta normativa está en pausa, sin fecha de publicación para concretar lo que emite el RGPD. Todo parece indicar que entrará en vigor en 2019, aunque tendrá un margen de adaptación.
Para ayudar a los webmasters, empresarios y cualquier persona que gestione o trate datos de usuarios de Internet, la Agencia Española de Protección de Datos ha lanzado varias herramientas. Se trata de herramientas web para saber si las empresas o las web cumplen con los requisitos del reglamento. Además, hay diferentes infografías, información y canales de comunicación para prestar soporte a quien lo necesite.
Facilita_RGPD
Se trata de una herramienta web con la que saber, paso a paso, cuáles son los criterios básicos que debe cumplir nuestra web para adaptarse al RGPD. Basta con acceder a esta página para encontrar el cuestionario, introducir el código y atender a las diferentes preguntas.
Lo primero es especificar a qué sector va dirigido, algo que ayudará a delimitar cuál es la sensibilidad de los datos de los usuarios que visitan la página web. También es posible especificar qué tipo de datos recoge la página web como la geolocalización, datos sanitarios, de género, origen étnico o cualquier otra variación.
Si nuestra página web solo recoge datos personales poco sensibles, la herramienta nos dirá qué aspectos debemos cambiar o cómo solicitar permiso para que el usuario conozca y consienta qué información cede al usar nuestra página web.
Si nuestra página web requiere de datos algo más específicos, esta herramienta se queda corta, y deberemos atender a otras de las opciones que facilita la AEPD, y que te mostramos a continuación.
Pasos a seguir
El RGPD obliga a quienes cuentan con una página web o servicio que recoja o trate datos de usuarios, a cumplir con unos mínimos. La AGPD cuenta con una hoja de ruta que ayuda a ir paso por paso para adecuar la página web y su funcionamiento a la nueva normativa europea. Estos son los puntos que has de seguir:
- Designación del Delegado de Protección de Datos. Básicamente consiste en elegir al encargado de la adaptación. Algo que los webmasters deberán asumir en su propia persona.
- Crear un Registro de Actividades de Tratamiento de datos (RAT). Ahora no es necesario inscribir ficheros en la agencia, basta con llevar a cabo este registro en formato electrónico. Es aquí donde hay que especificar qué datos se recogen y con qué fin. Por supuesto también tiene que quedar constancia de quién son esos datos y a quién se envían. Además, si se llevan a otros países, hay que registrar cuál es el tratamiento que se les da. También es importante dejar constancia del tiempo de vigencia de estos datos o cuándo se eliminarán. Es de vital importancia que el fin de tu página web y los datos recabados tengan relación directa.
- Modificar o adecuar los formularios de la web. Esto es básico para cumplir con el RGPD por parte del responsable del tratamiento de datos (en este caso el webmaster). Se debe informar en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado. En tu web tendrás que introducir cajas con texto claro para confirmar que el usuario ha leído y acepta las condiciones. También debes legitimar la recogida y tratamiento de datos con un texto legal en la parte inferior de la página. Aquí, además, deberás incluir un enlace para desarrollar las políticas de privacidad que rigen tu medio web y que, por supuesto, se enmarcan dentro del RGPD. Avisos legales, política de privacidad, política de cookies y demás textos legales han de estar actualizados y adecuados a lo marcado por el RGPD.
- Adaptar todos los sistemas de recolección de datos. La AEPD obliga a crear un sistema de información por capas, con diferentes niveles que vayan profundizando de manera clara en los datos que se recogen de los interesados. La primera capa ofrece información resumida acerca del epígrafe que se trata, mientras que la segunda capa muestra todos los detalles.
- Revisar complementos, plugins y demás añadidos. El reglamento europeo obliga a que tanto la página web como cualquier servicio añadido que trate los datos del usuario se adecue a los requisitos. Así que revisa que todo lo que has añadido a tu página cumple con la ley.
- Renovar los elementos de consentimiento. Cajas de consentimiento, permisos, formularios y demás elementos presentes en la página web deben casar con lo recogido en el RGPD. Asegúrate de que todos los textos muestran los requisitos de la norma europea, y coloca estos elementos allí donde se soliciten datos de los usuarios.
- Notificar cualquier problema de privacidad. Existe un plazo máximo de 72 horas para notificar cualquier incidencia o brecha de seguridad ocurrida en tu página web. Si tu página cifra la información de los afectados, no es necesario que les notifiques lo sucedido. Este reporte debe incluir toda esta información: número de afectados, categorías de datos vulnerados, datos de contacto del delegado la Protección de Datos, las consecuencias del problema sucedido y las medidas tomadas para subsanar el problema. Elementos, todos ellos, que deben de quedar documentados para reportar cualquier incidencia a la Autoridad de Control, o a los afectados si es necesario.
Pues empezamos bien si la web que enlaza el artículo donde encontrar el formulario y proceder es «no segura» y ni carga