La fecha tope de mayo de 2018 para el cumplimiento del Reglamento General de Protección de Datos (RGPD) está ahí ya, así que sin dilatarlo ya me he puesto a ello.

Me he hecho un resumen después de mucho leer de lo que tengo que hacer y cómo. Ya que después de tanto leer y leer y tanto tocho que no asimilo, yo necesito simplificar o muero en el intento.

Tómate este post sólo como una checklist de lo que deberías tener hecho en breve.

Ten en cuenta que esto es lo que yo he hecho simplificando mucho todos los documentos, post y demás que me he leído acerca de la RGPD o GPRD.

Si te ayuda perfecto.

Si necesitas más información, te he dejado vínculos de gente que sabe mucho más que yo del tema.

Este es mi resumen, que no valdrá absolutamente para todos, pero quizás os sirva de ayuda.

RGPD simplificado

¿Qué es el RGPD?

El qué y el por qué ya os lo explican en la AEPD (Agencia Española de Protección de Datos). Si queréis leerlo está aquí no quiero que este post sea interminable, sino fácil de leer.

¿Y yo qué tengo que hacer con el RGPD?

Primero: saber qué nivel de datos recojo

  • En mi caso el más sencillo, una dirección de correo. (Ojo cuando se recogen datos de otros niveles tipo de salud, sexo, etc.)

Segundo: Modificaciones y textos legales que necesito

  • Textos legales en todas las páginas de la web (en el pie)
    • Ley de Privacidad
    • Política de Cookies
    • Aviso Legal
  • Coletillas o primera capa informativa, que hay que añadir allá dónde recoja/use datos:
    • Suscripciones
    • Comentarios
    • Formulario de contacto
    • Emails
    • Newsletters

Una coletilla es un texto breve donde EN EL PROPIO FORMULARIO se le avanza al usuario la información más relevante que debe conocer, de forma resumida, y se le facilita que pueda acceder obviamente a la información completa.

  • Siempre que recojamos datos, es necesario una aceptación explícita del usuario, o lo que es lo mismo, un check que no puede estar marcado por defecto. Tiene que ser el usuario el que realice la acción

Si miras el detalle de la AEPD verás que las coletillas son esos textos que llaman “primera capa informativa”, y los textos legales son los que llaman ”segunda capa informativa” y tienen más detalle.

Lo que hay que hacer es que siempre las coletillas lleven a los textos legales para poder ver más información.

 

Acciones a realizar:

Resumo brevemente las acciones que deberías revisar y realizar para adecuar tu blog al RGPD.

  1. Preparar los textos legales necesarios
  2. Modificar el pie de página para poner el acceso a los textos legales: Ley de privacidad y aviso legal
  3. Modificar la política de cookies
  4. Modificar el formulario de suscripción
  5. Modificar el formulario de contacto
  6. Modificar los comentarios
  7. Revisar mailchimp: modificar formularios de suscripción.
  8. Revisar mailchimp: modificar newslettes.
  9. Preparar y enviar newsletter para que los usuarios ya suscritos acepten las nuevas condiciones. (Preparar motivación para que lo hagan y no perderlos)

PASO 1: Preparar textos legales:

Vale, esto es lo más divertido sobre todo si no sabes nada de leyes claro.

Hay varias ayudas para prepararlos (además de que estarás harto de ver estos textos en muchas webs que ya se han adaptado, aunque no lo leemos nadie).

El mejor sitio a recurrir: La AEPD (Agencia Española de Protección de datos), ya que es la fuente:

Aquí tienes una “Guía para el cumplimiento del deber de informar” de la propia AEPD que yo creo que está bastante clara: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf

Según este mismo documento, verás que hace referencia a una información por capas.

Este enfoque consiste en lo siguiente:

  • Presentar una información básica en un primer nivel, de forma resumida cuando se recogen los datos (en las coletillas)
  • Remitir a la información adicional de segundo nivel.

Esto significa que en las coletillas (o primer nivel)  bastará con dar esa primera capa informativa, y en los textos legales habrá que dar la segunda.

Las informaciones requeridas por el RGPD se agrupan en epígrafes, resumidas en la primera capa y con información adicional en la segunda.

Veamos el detalle de estos epígrafes del RGPD

Los epígrafes son:

  • “Responsable”
  • “Finalidad”
  • “Legitimación”
  • “Destinatarios”
  • “Derechos”
  • “Procedencia”

 

PRIMERA CAPA

La forma de presentación de esta primera capa es en forma de tabla y garantizando que esta información queda dentro del campo de visión del interesado.

Tiene que estar claramente identificada con un título como: “Información básica sobre protección de datos”

Además de la tabla con la información resumida, debe incluirse claramente una indicación sobre dónde o cómo puede accederse a la información adicional en la segunda capa

El nivel de detalle es el siguiente:

 

EpígrafeInformación básica (1ª capa, resumida)Mi ejemplo
“Responsable” Identidad del Responsable del TratamientoEva María Tarín López
(+ info ==> aviso legal)
“Finalidad”Descripción sencilla de los fines del tratamiento, incluso elaboración de perfilesGestionar el envío de boletines por correo electrónico con información gratuita y sin publicidad, relacionada con los temas que se tratan en mi web www.evatarin.net.
(+info==> política de privacidad)
“Legitimación”Base jurídica del tratamientoConsentimiento del interesado
(+info ==> política de privacidad)
“Destinatarios”Previsión o no de CesionesSe comunicarán datos a MailChimp para gestionar las suscripciones a la lista de correo como plataforma de envío de boletines por correo electrónico.
(+info ==> política de privacidad)
“Derechos”Referencia al ejercicio de derechos. “Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional”
(+info ==> aviso legal)
“Procedencia”Fuente de los datos (cuando no proceden del interesado)(no aplica)
Información adicional Puede consultar la información adicional y detallada sobre Protección de Datos Personales en mi página web evatarin.net
(+info ==> política de privacidad)

 

Cuando esta primera capa se presenta en formularios tiene que existir también el  checkbox con aceptación explícita

 SEGUNDA CAPA

La información de la segunda capa ha de completar con todos los detalles la información resumida e incluir la información adicional requerida por el RGPD.

¿Cómo presentar la información adicional?

  • en una página web específica a la que se accede mediante un hipervínculo
  • como un documento disponible para su descarga desde una url
  • como información adjunta en un mensaje electrónico

El nivel de detalle es el siguiente:

EpígrafeInformación adicional (2ª capa, detallada)
“Responsable” del tratamiento de datosDatos de contacto del Responsable
 

“Finalidad”

(del tratamiento)

Descripción ampliada de los fines del tratamiento
Plazos o criterios de conservación de los datos
Decisiones automatizadas, perfiles y lógica aplicada
 

“Legitimación”

(del tratamiento)

Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo
interés legítimo.
Obligación o no de facilitar datos y consecuencias de no hacerlo
“Destinatarios” (de cesiones o transferencias)Destinatarios o categorías de destinatarios
 

“Derechos” (de las personas interesadas)

 

 

Decisiones de adecuación, garantías, normas
corporativas vinculantes o situaciones específicas aplicables
Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento
Derecho a retirar el consentimiento prestado
Derecho a reclamar ante la Autoridad de Control
 Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
“Procedencia”Categorías de datos que se traten

 

PASO 2. Modificar el pie de página para poner el acceso a los textos legales

Dado que los textos legales deben aparecer en todas las páginas de la web, el mejor sitio para que aparezcan es el pie de página.

Modifícalo y añade un vínculo a las siguientes páginas:

  • Política de privacidad
  • Política de cookies
  • Aviso legal

PASO 3. Modificar la política de cookies

Revisa el texto que tenías en la política de cookies y adáptalo a la nueva ley

 

PASO 4: Formulario de suscripción

Añade al formulario de suscripción lo siguiente

  • Aceptación explícita de la Política de privacidad
  • Acceso al detalle de la Política de Privacidad (vínculo a la página)
  • Añade la “información básica sobre protección de datos”: Detalle de la primera capa.

Yo he utilizado el formulario de mailchimp modificándolo para que recoja este campo

PASO 5: Modificar el formulario de contacto

Añade al formulario de contacto lo siguiente

  • Aceptación explícita de la Política de privacidad
  • Acceso al detalle de la Política de Privacidad (vínculo a la página)
  • Añade la “información básica sobre protección de datos”: Detalle de la primera capa.

Yo he modificado el formulario de contacto que tenía agregándole un campo nuevo tipo checkbox que sea obligatorio para que no permita enviar el formulario sin marcarlo.

 

PASO 6: Modificar los comentarios

Añade a los comentarios lo siguiente

  • Aceptación explícita de la Política de privacidad
  • Acceso al detalle de la Política de Privacidad (vínculo a la página)
  • Añade la “información básica sobre protección de datos”: Detalle de la primera capa.

Esta parte estaba siendo un infierno para mi, porque no sabía cómo hacerlo, pero después de leer el post de Omar (puedes leerlo aquí), he decidido hacer lo mismo que él y combinar los dos plugins que utiliza él: Advanced Comment Form y WP GDPR Compliance

 

PASO 7: Modificar los formularios de mailchimp para agregar la primera capa.

Añade la información de la protección de datos a tus formularios de mailchimp (o de tu proveedor de email marketing)

 

PASO 8: Modificar la newsletter de mailchimp para agregar la primera capa.

Añade la información de la protección de datos a tus newsletters de mailchimp (o de tu proveedor de email marketing)

 

PASO 9: Guarda la aceptación.

Asegúrate de estar recibiendo el campo de aceptación cada vez que se suscribe o contacta un nuevo usuario.

Y consérvalo.

 

PASO 9: Enviar newsletter a los anteriores suscriptores

Envía una newsletter a los suscriptores previos a esta aceptación pidiéndoles que acepten la nueva política de privacidad.

 

Resumiendo

  1. ¿has puesto en el pie de página el acceso a la Política de Cookies?
  2. ¿has puesto en el pie de página el acceso a la Política de Privacidad?
  3. ¿has puesto en el pie de página el acceso al aviso legal?
  4. ¿has insertado el checkbox y la coletilla de texto en los formularios de contacto?
  5. ¿has insertado el checkbox y la coletilla de texto en los formularios de suscripción?
  6. ¿has insertado el checkbox y la coletilla de texto en los comentarios?
  7. ¿has insertado la coletilla de texto en los formularios de mailchimp (o tu proveedor de email marketing?
  8. ¿has insertado la coletilla de texto en los newsletters de mailchimp (o tu proveedor de email marketing?
  9. ¿Has pedido el consentimiento a los suscriptores anteriores?
  10. ¿Estás guardando las aceptaciones explícitas de los usuarios
  11. ¿El usuario tiene acceso fácil a la modificación y cancelación de sus datos?

Bueno, esto es lo que yo he ido revisando para adaptar la mía, pero como creo que esto no es más que un resumen básico y que hay muuucho más que te puede interesar, te dejo los artículos que me he ido leyendo y considero interesantes.

Más información (y mejor)

Nueva Ley de Protección de Datos 2018: ¿Está tu Web bien preparada para ella?

¿Es mi blog legal? – Como legalizar mi blog paso a paso – Guía completa

RGPD, Google Analytics y WordPress ¿tengo que hacer algo al respecto?

Cómo he adaptado mi blog al RGPD

RGPD: mucha teoría y meter miedo… por fin alguien que te explica “CÓMO” hacerlo tú mismo en la parte técnica

 

Espero que te haya servido de ayuda si todavía no has centrado el tiro con este tema.

La verdad es que para los que no somos grandes empresas o tenemos un conocimiento legal amplio esto es una p*****, pero bueno, intentaremos hacerlo lo mejor posible.