La fecha tope de mayo de 2018 para el cumplimiento del Reglamento General de Protección de Datos (RGPD) está ahí ya, así que sin dilatarlo ya me he puesto a ello.

Me he hecho un resumen después de mucho leer de lo que tengo que hacer y cómo. Ya que después de tanto leer y leer y tanto tocho que no asimilo, yo necesito simplificar o muero en el intento.

Tómate este post sólo como una checklist de lo que deberías tener hecho en breve.

Ten en cuenta que esto es lo que yo he hecho simplificando mucho todos los documentos, post y demás que me he leído acerca de la RGPD o GPRD.

Si te ayuda perfecto.

Si necesitas más información, te he dejado vínculos de gente que sabe mucho más que yo del tema.

Este es mi resumen, que no valdr√° absolutamente para todos, pero quiz√°s os sirva de ayuda.

RGPD simplificado

¬ŅQu√© es el RGPD?

El qu√© y el por qu√© ya os lo explican en la AEPD (Agencia Espa√Īola de Protecci√≥n de Datos). Si quer√©is leerlo est√° aqu√≠ no quiero que este post sea interminable, sino f√°cil de leer.

¬ŅY yo qu√© tengo que hacer con el RGPD?

Primero: saber qué nivel de datos recojo

  • En mi caso el m√°s sencillo, una direcci√≥n de correo. (Ojo cuando se recogen datos de otros niveles tipo de salud, sexo, etc.)

Segundo: Modificaciones y textos legales que necesito

  • Textos legales en todas las p√°ginas de la web (en el pie)
    • Ley de Privacidad
    • Pol√≠tica de Cookies
    • Aviso Legal
  • Coletillas o primera capa informativa, que hay que a√Īadir all√° d√≥nde recoja/use datos:
    • Suscripciones
    • Comentarios
    • Formulario de contacto
    • Emails
    • Newsletters

Una coletilla es un texto breve donde EN EL PROPIO FORMULARIO se le avanza al usuario la información más relevante que debe conocer, de forma resumida, y se le facilita que pueda acceder obviamente a la información completa.

  • Siempre que recojamos datos, es necesario una aceptaci√≥n expl√≠cita del usuario, o lo que es lo mismo, un check que no puede estar marcado por defecto. Tiene que ser el usuario el que realice la acci√≥n

Si miras el detalle de la AEPD ver√°s que las coletillas son esos textos que llaman ‚Äúprimera capa informativa‚ÄĚ, y los textos legales son los que llaman ‚ÄĚsegunda capa informativa‚ÄĚ y tienen m√°s detalle.

Lo que hay que hacer es que siempre las coletillas lleven a los textos legales para poder ver más información.

 

Acciones a realizar:

Resumo brevemente las acciones que deberías revisar y realizar para adecuar tu blog al RGPD.

  1. Preparar los textos legales necesarios
  2. Modificar el pie de p√°gina para poner el acceso a los textos legales: Ley de privacidad y aviso legal
  3. Modificar la política de cookies
  4. Modificar el formulario de suscripción
  5. Modificar el formulario de contacto
  6. Modificar los comentarios
  7. Revisar mailchimp: modificar formularios de suscripción.
  8. Revisar mailchimp: modificar newslettes.
  9. Preparar y enviar newsletter para que los usuarios ya suscritos acepten las nuevas condiciones. (Preparar motivación para que lo hagan y no perderlos)

PASO 1: Preparar textos legales:

Vale, esto es lo m√°s divertido sobre todo si no sabes nada de leyes claro.

Hay varias ayudas para prepararlos (adem√°s de que estar√°s harto de ver estos textos en muchas webs que ya se han adaptado, aunque no lo leemos nadie).

El mejor sitio a recurrir: La AEPD (Agencia Espa√Īola de Protecci√≥n de datos), ya que es la fuente:

Aqu√≠ tienes una ‚ÄúGu√≠a para el cumplimiento del deber de informar‚ÄĚ de la propia AEPD que yo creo que est√° bastante clara: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf

Seg√ļn este mismo documento, ver√°s que hace referencia a una informaci√≥n por capas.

Este enfoque consiste en lo siguiente:

  • Presentar una informaci√≥n b√°sica en un primer nivel, de forma resumida cuando se recogen los datos (en las coletillas)
  • Remitir a la informaci√≥n adicional de segundo nivel.

Esto significa que en las coletillas (o primer nivel)  bastará con dar esa primera capa informativa, y en los textos legales habrá que dar la segunda.

Las informaciones requeridas por el RGPD se agrupan en epígrafes, resumidas en la primera capa y con información adicional en la segunda.

Veamos el detalle de estos epígrafes del RGPD

Los epígrafes son:

  • ‚ÄúResponsable‚ÄĚ
  • ‚ÄúFinalidad‚ÄĚ
  • ‚ÄúLegitimaci√≥n‚ÄĚ
  • ‚ÄúDestinatarios‚ÄĚ
  • ‚ÄúDerechos‚ÄĚ
  • ‚ÄúProcedencia‚ÄĚ

 

PRIMERA CAPA

La forma de presentación de esta primera capa es en forma de tabla y garantizando que esta información queda dentro del campo de visión del interesado.

Tiene que estar claramente identificada con un t√≠tulo como: ‚ÄúInformaci√≥n b√°sica sobre protecci√≥n de datos‚ÄĚ

Además de la tabla con la información resumida, debe incluirse claramente una indicación sobre dónde o cómo puede accederse a la información adicional en la segunda capa

El nivel de detalle es el siguiente:

 

EpígrafeInformación básica (1ª capa, resumida)Mi ejemplo
‚ÄúResponsable‚ÄĚ Identidad del Responsable del TratamientoEva Mar√≠a Tar√≠n L√≥pez
(+ info ==> aviso legal)
‚ÄúFinalidad‚ÄĚDescripci√≥n sencilla de los fines del tratamiento, incluso elaboraci√≥n de perfilesGestionar el env√≠o de boletines por correo electr√≥nico con informaci√≥n gratuita y sin publicidad, relacionada con los temas que se tratan en mi web www.evatarin.net.
(+info==> política de privacidad)
‚ÄúLegitimaci√≥n‚ÄĚBase jur√≠dica del tratamientoConsentimiento del interesado
(+info ==> política de privacidad)
‚ÄúDestinatarios‚ÄĚPrevisi√≥n o no de CesionesSe comunicar√°n datos a MailChimp para gestionar las suscripciones a la lista de correo como plataforma de env√≠o de boletines por correo electr√≥nico.
(+info ==> política de privacidad)
‚ÄúDerechos‚ÄĚReferencia al ejercicio de derechos.¬†‚ÄúTiene derecho a acceder, rectificar y suprimir los datos, as√≠ como otros derechos, como se explica en la informaci√≥n adicional‚ÄĚ
(+info ==> aviso legal)
‚ÄúProcedencia‚ÄĚFuente de los datos (cuando no proceden del interesado)(no aplica)
Información adicional Puede consultar la información adicional y detallada sobre Protección de Datos Personales en mi página web evatarin.net
(+info ==> política de privacidad)

 

Cuando esta primera capa se presenta en formularios tiene que existir también el  checkbox con aceptación explícita

 SEGUNDA CAPA

La información de la segunda capa ha de completar con todos los detalles la información resumida e incluir la información adicional requerida por el RGPD.

¬ŅC√≥mo presentar la informaci√≥n adicional?

  • en una p√°gina web espec√≠fica a la que se accede mediante un hiperv√≠nculo
  • como un documento disponible para su descarga desde una url
  • como informaci√≥n adjunta en un mensaje electr√≥nico

El nivel de detalle es el siguiente:

EpígrafeInformación adicional (2ª capa, detallada)
‚ÄúResponsable‚ÄĚ del tratamiento de datosDatos de contacto del Responsable
 

‚ÄúFinalidad‚ÄĚ

(del tratamiento)

Descripción ampliada de los fines del tratamiento
Plazos o criterios de conservación de los datos
Decisiones automatizadas, perfiles y lógica aplicada
 

‚ÄúLegitimaci√≥n‚ÄĚ

(del tratamiento)

Detalle de la base jur√≠dica del tratamiento, en los casos de obligaci√≥n legal, inter√©s p√ļblico o inter√©s leg√≠timo
interés legítimo.
Obligación o no de facilitar datos y consecuencias de no hacerlo
‚ÄúDestinatarios‚ÄĚ (de cesiones o transferencias)Destinatarios o categor√≠as de destinatarios
 

‚ÄúDerechos‚ÄĚ (de las personas interesadas)

 

 

Decisiones de adecuación, garantías, normas
corporativas vinculantes o situaciones específicas aplicables
Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento
Derecho a retirar el consentimiento prestado
Derecho a reclamar ante la Autoridad de Control
¬†Informaci√≥n detallada del origen de los datos, incluso si proceden de fuentes de acceso p√ļblico
‚ÄúProcedencia‚ÄĚCategor√≠as de datos que se traten

 

PASO 2. Modificar el pie de p√°gina para poner el acceso a los textos legales

Dado que los textos legales deben aparecer en todas las p√°ginas de la web, el mejor sitio para que aparezcan es el pie de p√°gina.

Modif√≠calo y a√Īade un v√≠nculo a las siguientes p√°ginas:

  • Pol√≠tica de privacidad
  • Pol√≠tica de cookies
  • Aviso legal

PASO 3. Modificar la política de cookies

Revisa el texto que tenías en la política de cookies y adáptalo a la nueva ley

 

PASO 4: Formulario de suscripción

A√Īade al formulario de suscripci√≥n lo siguiente

  • Aceptaci√≥n expl√≠cita de la Pol√≠tica de privacidad
  • Acceso al detalle de la Pol√≠tica de Privacidad (v√≠nculo a la p√°gina)
  • A√Īade la ‚Äúinformaci√≥n b√°sica sobre protecci√≥n de datos‚ÄĚ: Detalle de la primera capa.

Yo he utilizado el formulario de mailchimp modific√°ndolo para que recoja este campo

PASO 5: Modificar el formulario de contacto

A√Īade al formulario de contacto lo siguiente

  • Aceptaci√≥n expl√≠cita de la Pol√≠tica de privacidad
  • Acceso al detalle de la Pol√≠tica de Privacidad (v√≠nculo a la p√°gina)
  • A√Īade la ‚Äúinformaci√≥n b√°sica sobre protecci√≥n de datos‚ÄĚ: Detalle de la primera capa.

Yo he modificado el formulario de contacto que tenía agregándole un campo nuevo tipo checkbox que sea obligatorio para que no permita enviar el formulario sin marcarlo.

 

PASO 6: Modificar los comentarios

A√Īade a los comentarios lo siguiente

  • Aceptaci√≥n expl√≠cita de la Pol√≠tica de privacidad
  • Acceso al detalle de la Pol√≠tica de Privacidad (v√≠nculo a la p√°gina)
  • A√Īade la ‚Äúinformaci√≥n b√°sica sobre protecci√≥n de datos‚ÄĚ: Detalle de la primera capa.

Esta parte estaba siendo un infierno para mi, porque no sabía cómo hacerlo, pero después de leer el post de Omar (puedes leerlo aquí), he decidido hacer lo mismo que él y combinar los dos plugins que utiliza él: Advanced Comment Form y WP GDPR Compliance

 

PASO 7: Modificar los formularios de mailchimp para agregar la primera capa.

A√Īade la informaci√≥n de la protecci√≥n de datos a tus formularios de mailchimp (o de tu proveedor de email marketing)

 

PASO 8: Modificar la newsletter de mailchimp para agregar la primera capa.

A√Īade la informaci√≥n de la protecci√≥n de datos a tus newsletters de mailchimp (o de tu proveedor de email marketing)

 

PASO 9: Guarda la aceptación.

Aseg√ļrate de estar recibiendo el campo de aceptaci√≥n cada vez que se suscribe o contacta un nuevo usuario.

Y consérvalo.

 

PASO 9: Enviar newsletter a los anteriores suscriptores

Envía una newsletter a los suscriptores previos a esta aceptación pidiéndoles que acepten la nueva política de privacidad.

 

Resumiendo

  1. ¬Ņhas puesto en el pie de p√°gina el acceso a la Pol√≠tica de Cookies?
  2. ¬Ņhas puesto en el pie de p√°gina el acceso a la Pol√≠tica de Privacidad?
  3. ¬Ņhas puesto en el pie de p√°gina el acceso al aviso legal?
  4. ¬Ņhas insertado el checkbox y la coletilla de texto en los formularios de contacto?
  5. ¬Ņhas insertado el checkbox y la coletilla de texto en los formularios de suscripci√≥n?
  6. ¬Ņhas insertado el checkbox y la coletilla de texto en los comentarios?
  7. ¬Ņhas insertado la coletilla de texto en los formularios de mailchimp (o tu proveedor de email marketing?
  8. ¬Ņhas insertado la coletilla de texto en los newsletters de mailchimp (o tu proveedor de email marketing?
  9. ¬ŅHas pedido el consentimiento a los suscriptores anteriores?
  10. ¬ŅEst√°s guardando las aceptaciones expl√≠citas de los usuarios
  11. ¬ŅEl usuario tiene acceso f√°cil a la modificaci√≥n y cancelaci√≥n de sus datos?

Bueno, esto es lo que yo he ido revisando para adaptar la mía, pero como creo que esto no es más que un resumen básico y que hay muuucho más que te puede interesar, te dejo los artículos que me he ido leyendo y considero interesantes.

Más información (y mejor)

Nueva Ley de Protecci√≥n de Datos 2018: ¬ŅEst√° tu Web bien preparada para ella?

¬ŅEs mi blog legal? ‚Äď Como legalizar mi blog paso a paso ‚Äď Gu√≠a completa

RGPD, Google Analytics y WordPress ¬Ņtengo que hacer algo al respecto?

Cómo he adaptado mi blog al RGPD

RGPD: mucha teor√≠a y meter miedo‚Ķ por fin alguien que te explica ‚ÄúC√ďMO‚ÄĚ hacerlo t√ļ mismo en la parte t√©cnica

 

Espero que te haya servido de ayuda si todavía no has centrado el tiro con este tema.

La verdad es que para los que no somos grandes empresas o tenemos un conocimiento legal amplio esto es una p*****, pero bueno, intentaremos hacerlo lo mejor posible.