Esto dias habréis recibido decenas de emails de todo tipo de empresas, avisando que iban a revisar su Política de Privacidad debido a que el próximo 25 de mayo entra en vigor el Reglamento General de Protección de Datos (RGPD).
El caso es que las empresas que os envían los emails son tanto las que vosotros os habeis apuntado para recibir sus noticias / boletines, como las que os envían SPAM, lo que no deja de tener gracia ya que precisamente esta ley es para salvaguardar los derechos de los usuarios respecto al tratamiento de sus datos que hacen estas empresas. Este Reglamento (UE 2016/679) ha sido elaborado por el Parlamento Europeo y su objetivo es proteger a las personas físicas en lo que respecta al tratamiento de sus datos personales y la libre circulación de los mismos.
Además estos dias han salido una enorme cantidad de websites explicando los cambios a realizar en las webs para cumplir con este reglamento. Los cambios se centran en el tema del tratamiento de los datos que el usuario mete a través de la web.
Vamos a resumir los cambios a realizar, para ello vamos a distinguir 2 tipos de webs: Las que tienen gestión de usuarios (registro, login, etc..) y las que no.
Algo que es común para todas las webs es el texto de la Política de Privacidad. Solo este texto, el Aviso Legal y la Política de Cookies si los tenías correctamente redactados, siguen estando bien. Tal vez en el texto de la Política de Cookies puedes hacer una ampliación mencionando la ley, pero si en ese texto ya mencionabas el tipo de cookies, finalidad y duración, entonces está correcto.
El texto de la Política de Privacidad informa al usuario que pasa con los datos que introduce a través de la web; ahora debe incidir en que el usuario tiene derecho a:
- Información y portabilidad: El usuario tiene derecho a conocer todos los datos personales sobre él que maneja el proveedor, ya sea por una causa meramente informativa o porque los quiere llevar otro proveedor.
- El olvido: El usuario puede solicitar que sean borrados todos los datos que se tienen sobre el.
- Conocer la finalidad del procesamiento de datos: El usuario puede solicitar que se le informe la finalidad del tratamiento de sus datos y negarse a que sus datos sean utilizados tanto por el proveedor como por terceros.
Centrándonos en la web en sí, deben estar visibles en todo momento, por ejemplo en el pie de página, los enlaces a los textos legales de Aviso Legal, Política de Privacidad y Política de Cookies. Además, de en la web, se tendrían que poner enlaces en los pies de página o firmas de los correos electrónicos.
Si tienes una web que no tiene gestión de usuarios, entonces seguramente tengas un formulario de contacto, o tal vez comentarios si es un blog, e incluso una casilla para meter un email y recibir mailings. Todos estos elementos tienen que tener lo siguiente:
- Casilla de verificación, la famosa casilla de "He leído y acepto la Política de Privacidad", que está prohibido mostrarla premarcada; esta deberá ser marcada expresamente por el usuario.
- Como cada elemento de contacto va a tener una finalidad distinta, se debe poner un texto debajo de la casilla, o bien un popup, donde se informa al usuario de cual va a ser el tratamiento de los datos que va a meter. Si es el formulario de contacto, pues "Estos datos se usarán solo para contactar con el administrador de la web y no serán almacenados etc...", si es la casilla donde la gente mete su email para apuntarse a un boletín, "Este email se usará exclusivamente para enviar al usuario el boletín y el usuario tendrá derecho a poder borrarlo, y nunca se compartirá con terceros, etc...".
- Pero la medida más polémica es que se debe guardar el consentimiento expreso del usuario cuando este te envía datos que vas a conservar, por lo que debes guardar ese consentimiento junto a los datos. ¿Como se guarda el consentimiento? Aquí he leido muchas teorías, pero lo mas sensato es guardar IP, email, fecha/hora, valor de la casilla de aceptación (si, guardar que la han marcado).
La parte mas complicada la tienen las webs que tienen gestión de usuarios, o tiendas online donde serían clientes, etc...
En el formulario de registro no solo tienes que poner la casilla de aceptación, e informar qué tratamiento vas a dar a los datos de nombre, apellidos, etc... que mete el usuario, sino que como comentamos antes, tienes que guardar su consentimiento. Si haces el registro de dos pasos, donde se envia un primer mail al usuario con un enlace, y al pinchar ese enlace ya se valida el registro, guarda en base de datos junto a los datos del usuario lo que comentamos antes, fecha/hora, IP, etc.. incluso el enlace que ha pinchado, y si quieres hilar más fino, guarda incluso el correo html con el enlace que le enviaste.
¿Qué pasa con los usuarios que ya tenías dados de alta? Si quieres cumplir la ley a rajatabla, debes solicitarles el consentimiento y guardarlo una vez que te lo den (por ejemplo haciendo un mailing y poniendo un enlace con el que obtengas los datos antes mencionados), o bien si no quieres hacer esto, borrarlos, que es lo que está haciendo mucha gente, prefiere empezar la lista desde cero antes que complicarse.
Por otro lado, el hecho de mantener una base de datos de usuarios, conlleva estos deberes:
- El "derecho al olvido" obliga a que en el menu de usuario se disponga de una opción para eliminar su cuenta. Si es una tienda online, se sobre entiende que al eliminarla también se eliminan sus direcciones, historial de compras, favoritos y cualquier otra huella que haya dejado el cliente en la tienda. O bien inhabilitarla en vez de eliminarla, para que más adelante pueda recuperarla.
- La portabilidad obliga a que el usuario disponga en su menu de usuario de una herramienta para obtener todos los datos que se tienen sobre el, los mismos que podíamos borrar en el apartado anterior. Obtener quiere decir por ejemplo exportarlos en excel. No está claro si esta debe ser una utilidad online disponible en cualquier momento o bien valdría con que los solicitaramos al responsable de la web y este nos los hiciera llegar.
- La recomendación de no seguir almacenando datos de los usuarios si no cumplen una función específica, básicamente nos está diciendo que debemos borrar las cuentas de usuario que lleven mucho tiempo inactivas, pero es otra de las cosas que no está nada clara en la ley.
Las tiendas online además de tener bien visibles (footer) los textos de las condiciones generales de la tienda, envíos y devoluciones, etc..., deben tomarse más en serio el tema de la mayoría de edad cuando la tienda venda productos solo para adultos.
Esto que he escrito es un resumen, hay páginas donde explican todo con mucha más extensión, recomiendo leerlas si hay alguna duda o bien consultarme por email, que las consultas son gratuitas :-)Sobre todo tener en cuenta que no se va a multar a nadie "inmediatamente" por no cumplir el reglamento. La metodología que suelen usar, cuando detectan alguna irregularidad, es primero advertir y dar un tiempo al responsable a que haga los cambios pertinentes.