La fecha tope de mayo de 2018 para el cumplimiento del Reglamento General de Protección de Datos (RGPD) está ahí ya, así que sin dilatarlo ya me he puesto a ello.
Me he hecho un resumen después de mucho leer de lo que tengo que hacer y cómo. Ya que después de tanto leer y leer y tanto tocho que no asimilo, yo necesito simplificar o muero en el intento.
Tómate este post sólo como una checklist de lo que deberías tener hecho en breve.
Ten en cuenta que esto es lo que yo he hecho simplificando mucho todos los documentos, post y demás que me he leído acerca de la RGPD o GPRD.
Si te ayuda perfecto.
Si necesitas más información, te he dejado vínculos de gente que sabe mucho más que yo del tema.
Este es mi resumen, que no valdrá absolutamente para todos, pero quizás os sirva de ayuda.
Índice de contenidos
RGPD simplificado
¿Qué es el RGPD?
El qué y el por qué ya os lo explican en la AEPD (Agencia Española de Protección de Datos). Si queréis leerlo está aquí no quiero que este post sea interminable, sino fácil de leer.
¿Y yo qué tengo que hacer con el RGPD?
Primero: saber qué nivel de datos recojo
- En mi caso el más sencillo, una dirección de correo. (Ojo cuando se recogen datos de otros niveles tipo de salud, sexo, etc.)
Segundo: Modificaciones y textos legales que necesito
- Textos legales en todas las páginas de la web (en el pie)
- Ley de Privacidad
- Política de Cookies
- Aviso Legal
- Coletillas o primera capa informativa, que hay que añadir allá dónde recoja/use datos:
- Suscripciones
- Comentarios
- Formulario de contacto
- Emails
- Newsletters
Una coletilla es un texto breve donde EN EL PROPIO FORMULARIO se le avanza al usuario la información más relevante que debe conocer, de forma resumida, y se le facilita que pueda acceder obviamente a la información completa.
- Siempre que recojamos datos, es necesario una aceptación explícita del usuario, o lo que es lo mismo, un check que no puede estar marcado por defecto. Tiene que ser el usuario el que realice la acción
Si miras el detalle de la AEPD verás que las coletillas son esos textos que llaman “primera capa informativa”, y los textos legales son los que llaman ”segunda capa informativa” y tienen más detalle.
Lo que hay que hacer es que siempre las coletillas lleven a los textos legales para poder ver más información.
Acciones a realizar:
Resumo brevemente las acciones que deberías revisar y realizar para adecuar tu blog al RGPD.
- Preparar los textos legales necesarios
- Modificar el pie de página para poner el acceso a los textos legales: Ley de privacidad y aviso legal
- Modificar la política de cookies
- Modificar el formulario de suscripción
- Modificar el formulario de contacto
- Modificar los comentarios
- Revisar mailchimp: modificar formularios de suscripción.
- Revisar mailchimp: modificar newslettes.
- Preparar y enviar newsletter para que los usuarios ya suscritos acepten las nuevas condiciones. (Preparar motivación para que lo hagan y no perderlos)
PASO 1: Preparar textos legales:
Vale, esto es lo más divertido sobre todo si no sabes nada de leyes claro.
Hay varias ayudas para prepararlos (además de que estarás harto de ver estos textos en muchas webs que ya se han adaptado, aunque no lo leemos nadie).
El mejor sitio a recurrir: La AEPD (Agencia Española de Protección de datos), ya que es la fuente:
Aquí tienes una “Guía para el cumplimiento del deber de informar” de la propia AEPD que yo creo que está bastante clara: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf
Según este mismo documento, verás que hace referencia a una información por capas.
Este enfoque consiste en lo siguiente:
- Presentar una información básica en un primer nivel, de forma resumida cuando se recogen los datos (en las coletillas)
- Remitir a la información adicional de segundo nivel.
Esto significa que en las coletillas (o primer nivel) bastará con dar esa primera capa informativa, y en los textos legales habrá que dar la segunda.
Las informaciones requeridas por el RGPD se agrupan en epígrafes, resumidas en la primera capa y con información adicional en la segunda.
Veamos el detalle de estos epígrafes del RGPD
Los epígrafes son:
- “Responsable”
- “Finalidad”
- “Legitimación”
- “Destinatarios”
- “Derechos”
- “Procedencia”
PRIMERA CAPA
La forma de presentación de esta primera capa es en forma de tabla y garantizando que esta información queda dentro del campo de visión del interesado.
Tiene que estar claramente identificada con un título como: “Información básica sobre protección de datos”
Además de la tabla con la información resumida, debe incluirse claramente una indicación sobre dónde o cómo puede accederse a la información adicional en la segunda capa
El nivel de detalle es el siguiente:
Epígrafe | Información básica (1ª capa, resumida) | Mi ejemplo | |
“Responsable” | Identidad del Responsable del Tratamiento | Eva María Tarín López (+ info ==> aviso legal) | |
“Finalidad” | Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles | Gestionar el envío de boletines por correo electrónico con información gratuita y sin publicidad, relacionada con los temas que se tratan en mi web www.evatarin.net. (+info==> política de privacidad) | |
“Legitimación” | Base jurídica del tratamiento | Consentimiento del interesado (+info ==> política de privacidad) | |
“Destinatarios” | Previsión o no de Cesiones | Se comunicarán datos a MailChimp para gestionar las suscripciones a la lista de correo como plataforma de envío de boletines por correo electrónico. (+info ==> política de privacidad) | |
“Derechos” | Referencia al ejercicio de derechos. | “Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional” (+info ==> aviso legal) | |
“Procedencia” | Fuente de los datos (cuando no proceden del interesado) | (no aplica) | |
Información adicional | Puede consultar la información adicional y detallada sobre Protección de Datos Personales en mi página web evatarin.net (+info ==> política de privacidad) |
Cuando esta primera capa se presenta en formularios tiene que existir también el checkbox con aceptación explícita
SEGUNDA CAPA
La información de la segunda capa ha de completar con todos los detalles la información resumida e incluir la información adicional requerida por el RGPD.
¿Cómo presentar la información adicional?
- en una página web específica a la que se accede mediante un hipervínculo
- como un documento disponible para su descarga desde una url
- como información adjunta en un mensaje electrónico
El nivel de detalle es el siguiente:
Epígrafe | Información adicional (2ª capa, detallada) | |
“Responsable” del tratamiento de datos | Datos de contacto del Responsable | |
“Finalidad” (del tratamiento) | Descripción ampliada de los fines del tratamiento | |
Plazos o criterios de conservación de los datos | ||
Decisiones automatizadas, perfiles y lógica aplicada | ||
“Legitimación” (del tratamiento) | Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo | |
interés legítimo. | ||
Obligación o no de facilitar datos y consecuencias de no hacerlo | ||
“Destinatarios” (de cesiones o transferencias) | Destinatarios o categorías de destinatarios | |
“Derechos” (de las personas interesadas)
| Decisiones de adecuación, garantías, normas | |
corporativas vinculantes o situaciones específicas aplicables | ||
Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento | ||
Derecho a retirar el consentimiento prestado | ||
Derecho a reclamar ante la Autoridad de Control | ||
Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público | ||
“Procedencia” | Categorías de datos que se traten |
PASO 2. Modificar el pie de página para poner el acceso a los textos legales
Dado que los textos legales deben aparecer en todas las páginas de la web, el mejor sitio para que aparezcan es el pie de página.
Modifícalo y añade un vínculo a las siguientes páginas:
- Política de privacidad
- Política de cookies
- Aviso legal
PASO 3. Modificar la política de cookies
Revisa el texto que tenías en la política de cookies y adáptalo a la nueva ley
PASO 4: Formulario de suscripción
Añade al formulario de suscripción lo siguiente
- Aceptación explícita de la Política de privacidad
- Acceso al detalle de la Política de Privacidad (vínculo a la página)
- Añade la “información básica sobre protección de datos”: Detalle de la primera capa.
Yo he utilizado el formulario de mailchimp modificándolo para que recoja este campo
PASO 5: Modificar el formulario de contacto
Añade al formulario de contacto lo siguiente
- Aceptación explícita de la Política de privacidad
- Acceso al detalle de la Política de Privacidad (vínculo a la página)
- Añade la “información básica sobre protección de datos”: Detalle de la primera capa.
Yo he modificado el formulario de contacto que tenía agregándole un campo nuevo tipo checkbox que sea obligatorio para que no permita enviar el formulario sin marcarlo.
PASO 6: Modificar los comentarios
Añade a los comentarios lo siguiente
- Aceptación explícita de la Política de privacidad
- Acceso al detalle de la Política de Privacidad (vínculo a la página)
- Añade la “información básica sobre protección de datos”: Detalle de la primera capa.
Esta parte estaba siendo un infierno para mi, porque no sabía cómo hacerlo, pero después de leer el post de Omar (puedes leerlo aquí), he decidido hacer lo mismo que él y combinar los dos plugins que utiliza él: Advanced Comment Form y WP GDPR Compliance
PASO 7: Modificar los formularios de mailchimp para agregar la primera capa.
Añade la información de la protección de datos a tus formularios de mailchimp (o de tu proveedor de email marketing)
PASO 8: Modificar la newsletter de mailchimp para agregar la primera capa.
Añade la información de la protección de datos a tus newsletters de mailchimp (o de tu proveedor de email marketing)
PASO 9: Guarda la aceptación.
Asegúrate de estar recibiendo el campo de aceptación cada vez que se suscribe o contacta un nuevo usuario.
Y consérvalo.
PASO 9: Enviar newsletter a los anteriores suscriptores
Envía una newsletter a los suscriptores previos a esta aceptación pidiéndoles que acepten la nueva política de privacidad.
Resumiendo
- ¿has puesto en el pie de página el acceso a la Política de Cookies?
- ¿has puesto en el pie de página el acceso a la Política de Privacidad?
- ¿has puesto en el pie de página el acceso al aviso legal?
- ¿has insertado el checkbox y la coletilla de texto en los formularios de contacto?
- ¿has insertado el checkbox y la coletilla de texto en los formularios de suscripción?
- ¿has insertado el checkbox y la coletilla de texto en los comentarios?
- ¿has insertado la coletilla de texto en los formularios de mailchimp (o tu proveedor de email marketing?
- ¿has insertado la coletilla de texto en los newsletters de mailchimp (o tu proveedor de email marketing?
- ¿Has pedido el consentimiento a los suscriptores anteriores?
- ¿Estás guardando las aceptaciones explícitas de los usuarios
- ¿El usuario tiene acceso fácil a la modificación y cancelación de sus datos?
Bueno, esto es lo que yo he ido revisando para adaptar la mía, pero como creo que esto no es más que un resumen básico y que hay muuucho más que te puede interesar, te dejo los artículos que me he ido leyendo y considero interesantes.
Más información (y mejor)
Nueva Ley de Protección de Datos 2018: ¿Está tu Web bien preparada para ella?
¿Es mi blog legal? – Como legalizar mi blog paso a paso – Guía completa
RGPD, Google Analytics y WordPress ¿tengo que hacer algo al respecto?
Cómo he adaptado mi blog al RGPD
Espero que te haya servido de ayuda si todavía no has centrado el tiro con este tema.
La verdad es que para los que no somos grandes empresas o tenemos un conocimiento legal amplio esto es una p*****, pero bueno, intentaremos hacerlo lo mejor posible.
Hola Eva, hasta ahora no había leído nada tan claro respecto a la Ley de marras. Muchas gracias, tengo que ponerme con ello pero ya.
Me alegro de que te sirva, yo me estaba volviendo loca con el temita…
Un abrzo
¡La leche Eva! Muy bien resumido y muy útil, ¡nos pondremos a ello pero ya!
Me alegro de que te guste 😀. Estamos ya casi en fecha y hay que meterse en el barro sí o sí
Excelente Eva, a ver si me pongo a ello, mi humilde blog lo necesita. Estamos todos locos con este tema!
Ya te digo, yo me encerré el fin de semana pasado para estudiármelo. Ánimo, que luego te pones y una vez lo entiendes solo cuesta un ratito.
Un abrazo
Por fin un texto para humanos! El tema es muy complejo pero lo haces muy facil Eva!
Gracias Susana! He intentado simplificar al máximo para no volverme loca. A ver si pasa el 25 de mayo y no se acaba el mundo jeje.
Un abrazo
Gracias por este artículo, personalmente me viene increible!!
No había encontrado una información más completa y clara. Millones de gracias!
Gracias Jimena. Si te interesa el tema, tengo una compañera que acaba de abrir un blog acerca de esto con una información super completa. Te lo dejo por si te viene bien: https://www.rgpdfriendly.es/
Un saludo,
Eva
Te agradezco verdaderamente el resumen. Está complicado encontrar una guía tan simple y completa a la vez. Un saludo.