Seguro que ya te has enterado de que hay un nuevo Reglamento Europeo de Protección de Datos (RPGD). Y si no es así, ya es hora porque apenas queda tiempo para que todas las organizaciones nos adaptemos a este nuevo marco europeo en materia de Protección de Datos. Estos temas legales en el ámbito de la comunicación, a menudo son contenidos que abordamos desde nuestros cursos de TIC, Marketing y comunicación especializada en el tercer sector. Esperamos poder arrojar algo de luz al respecto.
En realidad, este reglamento no es tan nuevo, se aprobó en mayo de 2016, pero se empezará a aplicar a partir del 25 de mayo de 2018. Estos dos años estaban destinados a que todas las empresas, administraciones y cualquier tipo de organización tuvieran tiempo de prepararse para su entrada en vigor. Pero si no has hecho tus deberes en materia de protección de datos, no te preocupes, te vamos a dar algunas pistas para poder cumplir con este reglamento.
Debes saber además que el RGPD es una norma que está por encima de cualquier otra norma nacional como la LOPD. Aunque la LOPD sigue siendo también aplicable en los aspectos que no contradiga la ley europea y hasta que se publique una nueva ley que la sustituya e incluya algunas precisiones específicas en materias en las que el RGPD lo permite.
En este artículo, me voy a limitar a aquellos aspectos que hagan referencia directamente con la comunicación online. Habrá otros casos en los que nos podemos ver afectados (como simplemente el recoger datos personales para el libro de soci@s), pero aquí nos vamos a limitar al ámbito comunicativo.
¿Debe tu organización cumplir con el Reglamento General Europeo de Protección de Datos (RGPD)?
Hablando de comunicación digital, hay varios casos en los que puede que estés recopilando datos personales y, por tanto, deberás cumplir con este nuevo reglamento. Este será tu caso sí:
- Permites comentarios en tu blog o web. Donde habitualmente es necesario registrar, al menos, nombre y mail.
- Formularios de contacto. Donde son igualmente necesarios algunos datos básicos como el mail o el nombre.
- Plugins o widget de suscripción a las entradas de un blog, alta en un boletín o newsletter o cualquier otro sistema de suscripción de noticias y donde las personas deben facilitarnos al menos su dirección de mail y aceptar el envío de notificaciones
- Otros formularios específicos de recogidas de datos como los que se puedan usar para la inscripción a un servicio, curso, actividad, sistemas de donaciones… Donde cualquier persona debe rellenar una ficha de registro o alta con sus datos personales.
- Tiendas virtuales u otros portales de compra de productos o servicios, que también requiere de registro o creación de un perfil y una pasarela de pago.
Cómo cumplir con el Reglamento Europeo de Protección de Datos (RPGD)
Lo más probable es que desde tu página web realices uno o varios de los casos mencionados, así que vamos a ver algunos aspectos que debemos tener en cuenta en nuestra comunicación online para cumplir con esta nueva normativa.
En primer lugar, te comento todos los apartados que debes tener y revisar en tus comunicaciones online:
- Páginas a destacar, por ejemplo en el footer de tu web:
- Política de privacidad.
- Política de cookies. En esta página ya no vale informar sobre qué son las cookies a nivel general, sino que debes especificar las cookies concretas propias y de terceros que se descargaran al abrir nuestra web.
- Aviso legal
- Coletillas legales a incluir en diversos soportes (y en los que deberás enlazar las páginas mencionadas anteriormente):
- Formulario de contacto.
- Formulario de comentarios en un blog, así como en los textos de confirmación enviados tras la suscripción (doble opt-in o simple comunicación de la inscripción).
- Formulario de suscripción a un boletín.
- El píe de tus nesletters.
- La firma de vuestros mails corporativos.
Además de revisar y/o crear todos estos apartados, te comento también los principales cambios a nivel técnico para recabar de forma legal los consentimientos y poder hacer uso de los datos para tus comunicaciones:
- Deberemos revisar cómo registramos el consentimiento de la cesión de datos de las personas cuando se registran en nuestras campañas de comunicación (por ejemplo a la suscripción de un boletín electrónico). Hasta ahora era suficiente reflejar un consentimiento tácito (por ejemplo, del tipo: “al registrarme acepto la política de privacidad”). Pero esta normativa nos obliga a contar con un consentimiento explícito, por lo que tendremos que añadir una casilla de aceptación (que no podrá estar premarcada por defecto). Por ejemplo, en nuestro caso hemos adaptado nuestro formulario de registro a nuestro boletín de la siguiente forma:
Otra acción que podemos implementar en el caso de los boletines (y/o complementar con otras) en nuestras campañas de email es el doble opt-in. Este consiste en pedir una doble confirmación. Por ejemplo, cuando nos suscribimos a un boletín y recibimos un primer mail con un enlace de confirmación.
En el blog de SocialCo también nos advierten que: …Además de guardar cada uno de los checks junto con el resto de datos recopilados del usuario, se debe guardar la fecha y hora exacta en que el usuario ha dado el consentimiento de cada uno de ellos. En caso de tener más de un formulario en la web, o de realizar campañas con landings y formularios, junto con el consentimiento y la fecha hora exacta, se debe guardar una referencia al formulario donde el usuario ha consentido (este campo suele llamarse “procedencia”).
¿Y qué pasa con los suscriptores/as que ya teníamos? Pues sin ha sido recabados con un consentimiento tácito la ley dice que no sería legal. Por tanto, deberemos volver a recabar su consentimiento de forma expresa volviendo a pedir que se registren en un nuevo formulario de suscripción que cumpla con la actual ley. Aquí, a modo de consejo, puedes facilitar una descarga gratuita o regalo para motivar a la suscripción. Si desde un principio has recabado los datos a través de un checkbox con el consentimiento o expreso o has usado un sistema de doble opt-in tendrás suerte, no será necesario volver a solicitar el consentimiento (este último caso ha sido desde el principio la forma de proceder nuestra, ¡menos mal!).
- Informar a l@s usuari@s con total claridad y transparencia de sus derechos. Los derechos ARCO (acceso, rectificación, cancelación y oposición) pasan a ser los derechos POLIROSA (portabilidad, limitación del tratamiento, rectificación, oposición, supresión -también llamado derecho de olvido- y acceso). Marina Brocca, en el blog de Mail Relay, nos comenta que para las personas físicas deben quedar claros los siguientes puntos (podemos incluirlos en las claúsulas informativas de nuestra política de protección de datos o políticas de privacidad):
- Que sus datos personales se están recogiendo, utilizando o consultando.
- La medida en que dichos datos son o serán tratados.
- Las posibles consecuencias de no facilitar tales datos.
- Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
- La identidad de los destinatarios o las categorías de destinatarios de los datos personales.
- La identidad del responsable de la gestión y si procede, del delegado de protección de datos.
- El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto sí es una novedad).
- La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
- La posibilidad de ejercitar el derecho a presentar una reclamación ante una autoridad de control
- La existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
- La intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión.
Tanto la política de Privacidad como la información a los usuarios de sus derechos RPGD ha de ser de forma clara, transparente, inteligible y con un lenguaje claro y sencillo (incluso anima a usar iconos). Por tanto, deberemos huir del lenguaje legal farragoso.
Y, para más información, en la Guía sobre el derecho a la información creada por la AEPD, la autoridad catalana y la Agencia Vasca de protección de datos, se muestra la información a incorporar en cada capa:
- Si piensas segmentar a tus destinatarios, también debes informar y requerir consentimiento. El reglamento especifica: …toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. Por tanto, no podremos elaborar perfiles ni segmentar a nuestros destinatarios sin que los mismos conozcan y autoricen ese tipo de tratamiento. Para poder elaborar perfiles y segmentar tendremos que:
- Informar específicamente sobre la posibilidad de elaborar perfiles para segmentar, definiendo las herramientas a utilizar y la finalidad.
- Requerir el consentimiento de manera explícita (como ya hemos dicho, con un checkbox en el formulario de registro de datos).
- Ofrecer el derecho a oponerse a la elaboración de perfiles en la medida en que esté relacionada con una campaña de marketing.
Pero tranquil@s, no se considera procesos de elaboración de perfiles …los datos presentes en la base de datos se analicen con instrumentos informáticos y su procesamiento sea objeto de la evaluación previa de una persona, con el objetivo de adaptar y verificar los datos antes de usarlos (por ejemplo, la depuración o actualización de base de datos, casos en los que no se requiere de consentimiento).
- Si además trabajamos con menores, el RGPD establece condiciones específicas para obtener su consentimiento: no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años (actualmente, en el caso español la edad mínima legal para la cesión de datos según la LOPD es de 14 años, y no especifica nada sobre servicios a la sociedad de la información). Habrá que estar pendiente de las modificaciones a este respecto que se puedan hacer en nuestro país o las actualizaciones en las políticas de uso de las herramientas informáticas y canales de comunicación que usemos (por ejemplo, Whatsapp aumentará la edad mínima legal para usar la aplicación a los 16 años).
- Con respecto a los comentarios en un blog, también es necesario solicitar el consentimiento explícito de la política de privacidad. En algunos gestores de contenidos como WordPress, esto podremos implementarlo fácilmente gracias a plugins como este de Enrique J. Ross. Y habrá que estar pendientes de las actualizaciones del motor de los principales gestores de contenidos (esperemos que se actualicen para que estos cambios vengan implementados por defecto sin necesidad de plugins)
- Por último, con respecto a los formularios de contacto, también será necesario añadir un checkbox con el consentimiento. En WordPress también lo podremos hacer con plugins como Contact Forms.
Existen algunas herramientas y recursos que ya nos facilitan un poco el trabajo. En mi caso, he probado el plugin para wordpress GDPR, que nos permite gestionar los consentimientos, las preferncias de privacidad para las cookies, facilitar el derecho de acceso a los datos…
Y la propia Agencia de Protección de Datos Española ha puesto a nuestra disposición una herramienta para ayudarnos a implementar esta nueva normativa: Facilita Régimen General de Protección de Datos.
Bueno, esperamos haberte aclarado algo. Para una lectura complementaria sobre las principales modificaciones de este reglamento europeo y las diferencias con nuestra normativa me han gustado especialmente estos dos contenidos: Aplicación práctica (y progresiva) del nuevo Reglamento europeo de protección de datos, GDPR/RGPD: qué es y cómo va a cambiar internet la nueva ley de protección de datos, o este vídeo.
Responsable de Comunicación en la Fundación Gestión y Participación Social. Máster en Comunicación y Educación en la Red. Trabajador Social. Miembro del equipo de intervención del proyecto de prevención del ciberacoso y otros riesgos online Te pongo un reto: #RedesConCorazón.