¿Qué te ha parecido?

La fecha tope de mayo de 2018 para el cumplimiento del Reglamento General de Protección de Datos (RGPD) está ahí ya, así que sin dilatarlo ya me he puesto a ello.

Me he hecho un resumen después de mucho leer de lo que tengo que hacer y cómo. Ya que después de tanto leer y leer y tanto tocho que no asimilo, yo necesito simplificar o muero en el intento.

Tómate este post sólo como una checklist de lo que deberías tener hecho en breve.

Ten en cuenta que esto es lo que yo he hecho simplificando mucho todos los documentos, post y demás que me he leído acerca de la RGPD o GPRD.

Si te ayuda perfecto.

Si necesitas más información, te he dejado vínculos de gente que sabe mucho más que yo del tema.

Este es mi resumen, que no valdrá absolutamente para todos, pero quizás os sirva de ayuda.

Índice de contenidos

RGPD simplificado

¿Qué es el RGPD?

El qué y el por qué ya os lo explican en la AEPD (Agencia Española de Protección de Datos). Si queréis leerlo está aquí no quiero que este post sea interminable, sino fácil de leer.

¿Y yo qué tengo que hacer con el RGPD?

Primero: saber qué nivel de datos recojo

En mi caso el más sencillo, una dirección de correo. (Ojo cuando se recogen datos de otros niveles tipo de salud, sexo, etc.)

Segundo: Modificaciones y textos legales que necesito

Textos legales en todas las páginas de la web (en el pie)
- Ley de Privacidad
- Política de Cookies
- Aviso Legal
Coletillas o primera capa informativa, que hay que añadir allá dónde recoja/use datos:
- Suscripciones
- Comentarios
- Formulario de contacto
- Emails
- Newsletters

Una coletilla es un texto breve donde EN EL PROPIO FORMULARIO se le avanza al usuario la información más relevante que debe conocer, de forma resumida, y se le facilita que pueda acceder obviamente a la información completa.

Siempre que recojamos datos, es necesario una aceptación explícita del usuario, o lo que es lo mismo, un check que no puede estar marcado por defecto. Tiene que ser el usuario el que realice la acción

Si miras el detalle de la AEPD verás que las coletillas son esos textos que llaman “primera capa informativa”, y los textos legales son los que llaman ”segunda capa informativa” y tienen más detalle.

Lo que hay que hacer es que siempre las coletillas lleven a los textos legales para poder ver más información.

Acciones a realizar:

Resumo brevemente las acciones que deberías revisar y realizar para adecuar tu blog al RGPD.

Preparar los textos legales necesarios
Modificar el pie de página para poner el acceso a los textos legales: Ley de privacidad y aviso legal
Modificar la política de cookies
Modificar el formulario de suscripción
Modificar el formulario de contacto
Modificar los comentarios
Revisar mailchimp: modificar formularios de suscripción.
Revisar mailchimp: modificar newslettes.
Preparar y enviar newsletter para que los usuarios ya suscritos acepten las nuevas condiciones. (Preparar motivación para que lo hagan y no perderlos)

PASO 1: Preparar textos legales:

Vale, esto es lo más divertido sobre todo si no sabes nada de leyes claro.

Hay varias ayudas para prepararlos (además de que estarás harto de ver estos textos en muchas webs que ya se han adaptado, aunque no lo leemos nadie).

El mejor sitio a recurrir: La AEPD (Agencia Española de Protección de datos), ya que es la fuente:

Aquí tienes una “Guía para el cumplimiento del deber de informar” de la propia AEPD que yo creo que está bastante clara: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf

Según este mismo documento, verás que hace referencia a una información por capas.

Este enfoque consiste en lo siguiente:

Presentar una información básica en un primer nivel, de forma resumida cuando se recogen los datos (en las coletillas)
Remitir a la información adicional de segundo nivel.

Esto significa que en las coletillas (o primer nivel) bastará con dar esa primera capa informativa, y en los textos legales habrá que dar la segunda.

Las informaciones requeridas por el RGPD se agrupan en epígrafes, resumidas en la primera capa y con información adicional en la segunda.

Veamos el detalle de estos epígrafes del RGPD

Los epígrafes son:

“Responsable”
“Finalidad”
“Legitimación”
“Destinatarios”
“Derechos”
“Procedencia”

PRIMERA CAPA

La forma de presentación de esta primera capa es en forma de tabla y garantizando que esta información queda dentro del campo de visión del interesado.

Tiene que estar claramente identificada con un título como: “Información básica sobre protección de datos”

Además de la tabla con la información resumida, debe incluirse claramente una indicación sobre dónde o cómo puede accederse a la información adicional en la segunda capa

El nivel de detalle es el siguiente:

Epígrafe	Información básica (1ª capa, resumida)	Mi ejemplo
Epígrafe	Información básica (1ª capa, resumida)	Mi ejemplo
*“Responsable”*	Identidad del Responsable del Tratamiento	Eva María Tarín López (+ info ==> aviso legal)
*“Finalidad”*	Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles	Gestionar el envío de boletines por correo electrónico con información gratuita y sin publicidad, relacionada con los temas que se tratan en mi web www.evatarin.net. (+info==> política de privacidad)
*“Legitimación”*	Base jurídica del tratamiento	Consentimiento del interesado (+info ==> política de privacidad)
*“Destinatarios”*	Previsión o no de Cesiones	Se comunicarán datos a MailChimp para gestionar las suscripciones a la lista de correo como plataforma de envío de boletines por correo electrónico. (+info ==> política de privacidad)
*“Derechos”*	Referencia al ejercicio de derechos.	“Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional” (+info ==> aviso legal)
*“Procedencia”*	Fuente de los datos (cuando no proceden del interesado)	(no aplica)
*Información adicional*		Puede consultar la información adicional y detallada sobre Protección de Datos Personales en mi página web evatarin.net (+info ==> política de privacidad)

Cuando esta primera capa se presenta en formularios tiene que existir también el checkbox con aceptación explícita

SEGUNDA CAPA

La información de la segunda capa ha de completar con todos los detalles la información resumida e incluir la información adicional requerida por el RGPD.

¿Cómo presentar la información adicional?

en una página web específica a la que se accede mediante un hipervínculo
como un documento disponible para su descarga desde una url
como información adjunta en un mensaje electrónico

El nivel de detalle es el siguiente:

Epígrafe	Información adicional (2ª capa, detallada)
Epígrafe	Información adicional (2ª capa, detallada)
*“Responsable” del tratamiento de datos*	Datos de contacto del Responsable
*“Finalidad”* (del tratamiento)	Descripción ampliada de los fines del tratamiento
	Plazos o criterios de conservación de los datos
	Decisiones automatizadas, perfiles y lógica aplicada
*“Legitimación”* (del tratamiento)	Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo
	interés legítimo.
	Obligación o no de facilitar datos y consecuencias de no hacerlo
*“Destinatarios”* (de cesiones o transferencias)	Destinatarios o categorías de destinatarios
*“Destinatarios”* (de cesiones o transferencias)	Destinatarios o categorías de destinatarios
*“Derechos”* (de las personas interesadas)	Decisiones de adecuación, garantías, normas
	corporativas vinculantes o situaciones específicas aplicables
	Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento
	Derecho a retirar el consentimiento prestado
	Derecho a reclamar ante la Autoridad de Control
	Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
*“Procedencia”*	Categorías de datos que se traten

PASO 2. Modificar el pie de página para poner el acceso a los textos legales

Dado que los textos legales deben aparecer en todas las páginas de la web, el mejor sitio para que aparezcan es el pie de página.

Modifícalo y añade un vínculo a las siguientes páginas:

Política de privacidad
Política de cookies
Aviso legal

PASO 3. Modificar la política de cookies

Revisa el texto que tenías en la política de cookies y adáptalo a la nueva ley

PASO 4: Formulario de suscripción

Añade al formulario de suscripción lo siguiente

Aceptación explícita de la Política de privacidad
Acceso al detalle de la Política de Privacidad (vínculo a la página)
Añade la “información básica sobre protección de datos”: Detalle de la primera capa.

Yo he utilizado el formulario de mailchimp modificándolo para que recoja este campo

PASO 5: Modificar el formulario de contacto

Añade al formulario de contacto lo siguiente

Aceptación explícita de la Política de privacidad
Acceso al detalle de la Política de Privacidad (vínculo a la página)
Añade la “información básica sobre protección de datos”: Detalle de la primera capa.

Yo he modificado el formulario de contacto que tenía agregándole un campo nuevo tipo checkbox que sea obligatorio para que no permita enviar el formulario sin marcarlo.

PASO 6: Modificar los comentarios

Añade a los comentarios lo siguiente

Aceptación explícita de la Política de privacidad
Acceso al detalle de la Política de Privacidad (vínculo a la página)
Añade la “información básica sobre protección de datos”: Detalle de la primera capa.

Esta parte estaba siendo un infierno para mi, porque no sabía cómo hacerlo, pero después de leer el post de Omar (puedes leerlo aquí), he decidido hacer lo mismo que él y combinar los dos plugins que utiliza él: Advanced Comment Form y WP GDPR Compliance

PASO 7: Modificar los formularios de mailchimp para agregar la primera capa.

Añade la información de la protección de datos a tus formularios de mailchimp (o de tu proveedor de email marketing)

PASO 8: Modificar la newsletter de mailchimp para agregar la primera capa.

Añade la información de la protección de datos a tus newsletters de mailchimp (o de tu proveedor de email marketing)

PASO 9: Guarda la aceptación.

Asegúrate de estar recibiendo el campo de aceptación cada vez que se suscribe o contacta un nuevo usuario.

Y consérvalo.

PASO 9: Enviar newsletter a los anteriores suscriptores

Envía una newsletter a los suscriptores previos a esta aceptación pidiéndoles que acepten la nueva política de privacidad.

Resumiendo

¿has puesto en el pie de página el acceso a la Política de Cookies?
¿has puesto en el pie de página el acceso a la Política de Privacidad?
¿has puesto en el pie de página el acceso al aviso legal?
¿has insertado el checkbox y la coletilla de texto en los formularios de contacto?
¿has insertado el checkbox y la coletilla de texto en los formularios de suscripción?
¿has insertado el checkbox y la coletilla de texto en los comentarios?
¿has insertado la coletilla de texto en los formularios de mailchimp (o tu proveedor de email marketing?
¿has insertado la coletilla de texto en los newsletters de mailchimp (o tu proveedor de email marketing?
¿Has pedido el consentimiento a los suscriptores anteriores?
¿Estás guardando las aceptaciones explícitas de los usuarios
¿El usuario tiene acceso fácil a la modificación y cancelación de sus datos?

Bueno, esto es lo que yo he ido revisando para adaptar la mía, pero como creo que esto no es más que un resumen básico y que hay muuucho más que te puede interesar, te dejo los artículos que me he ido leyendo y considero interesantes.

Más información (y mejor)

Nueva Ley de Protección de Datos 2018: ¿Está tu Web bien preparada para ella?

¿Es mi blog legal? – Como legalizar mi blog paso a paso – Guía completa

RGPD, Google Analytics y WordPress ¿tengo que hacer algo al respecto?

Cómo he adaptado mi blog al RGPD

RGPD: mucha teoría y meter miedo… por fin alguien que te explica “CÓMO” hacerlo tú mismo en la parte técnica

Espero que te haya servido de ayuda si todavía no has centrado el tiro con este tema.

La verdad es que para los que no somos grandes empresas o tenemos un conocimiento legal amplio esto es una p*****, pero bueno, intentaremos hacerlo lo mejor posible.

Otros artículos que te pueden interesar

9 Comentarios

Carolina Vargas el 11 mayo, 2018 a las 6:59 pm
Hola Eva, hasta ahora no había leído nada tan claro respecto a la Ley de marras. Muchas gracias, tengo que ponerme con ello pero ya.
Responder
- heba el 11 mayo, 2018 a las 7:34 pm
  Me alegro de que te sirva, yo me estaba volviendo loca con el temita…
  Un abrzo
  Responder
Monomaster el 11 mayo, 2018 a las 8:26 pm
¡La leche Eva! Muy bien resumido y muy útil, ¡nos pondremos a ello pero ya!
Responder
- heba el 11 mayo, 2018 a las 9:37 pm
  Me alegro de que te guste 😀. Estamos ya casi en fecha y hay que meterse en el barro sí o sí
  Responder
Ricardo Hartasanchez el 12 mayo, 2018 a las 11:45 am
Excelente Eva, a ver si me pongo a ello, mi humilde blog lo necesita. Estamos todos locos con este tema!
Responder
- heba el 12 mayo, 2018 a las 12:03 pm
  Ya te digo, yo me encerré el fin de semana pasado para estudiármelo. Ánimo, que luego te pones y una vez lo entiendes solo cuesta un ratito.
  Un abrazo
  Responder
Susana Albares el 16 mayo, 2018 a las 10:17 am
Por fin un texto para humanos! El tema es muy complejo pero lo haces muy facil Eva!
Responder
- heba el 16 mayo, 2018 a las 12:41 pm
  Gracias Susana! He intentado simplificar al máximo para no volverme loca. A ver si pasa el 25 de mayo y no se acaba el mundo jeje.
  Un abrazo
  Responder
Pablo Agrasot Adeva el 18 mayo, 2018 a las 7:39 am
Gracias por este artículo, personalmente me viene increible!!
Responder

Enviar comentario Cancelar respuesta

Información básica sobre protección de datos
Responsable » Eva Tarín López
Finalidad » Gestionar los comentarios
Legitimación » Consentimiento del interesado
Derechos » Tienes derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional
Información adicional » Puedes consultar la información adicional y detallada sobre Protección de Datos Personales en mi página web evatarin.net