Prepara tu web para la Nueva Ley de Protección de Datos 2018
A partir del 25 de mayo entra en vigor la Nueva Ley de Protección de Datos, la GDPR, y debemos tener todas las páginas webs cumpliendo esta nueva ley, de lo contrario, se impondrán importantes multas económicas.
Esta nueva ley es mucho más exigente que la anterior, especialmente en lo referido a entornos digitales. Tanto si estabas cumpliendo con la anterior Ley de Protección de Datos, como si no, esto te interesa, y mucho, las sanciones se han endurecido, la Agencia Española de Protección de Datos impondrá sanciones de hasta el 4% de la facturación anual y responsabilidades civiles, penales y laborales.
Ahora las empresas no solo deben decir que están cumpliendo con la Ley de Protección de Datos, deben poder DEMOSTRAR que han adoptado todas las medidas necesarias para evitar incidencias y debe ser capaces de PROBAR que han realizado las gestiones que marca la GDPR.
Sabemos que muchas empresas con todo tipo de páginas web: webs corporativas, blogs, tiendas online o e-commerce, webs de gestión documental, webs inmobiliarias, webs de empleo, webs de centros educativos…han estado haciendo oídos sordos a la Ley de Protección de datos, a la necesidad de cumplir con la LSSI, de tener una web más segura a través de un certificado SSL, etc.
A muchos profesionales que trabajan en el entorno digital la protección de datos les ha importado más bien poco o nada y esto era gracias a una ley poco clara y a que a los usuarios ciertamente tampoco les importaba demasiado, pero ahora la ley nos obliga a que las políticas de privacidad que se incluyen en las páginas web no sean demasiado técnicas, sino que un usuario medio al leerla sepa qué se va a hacer con sus datos, porqué, durante cuánto tiempo, etc.
Vale, hasta ahora la Ley de Protección de Datos no le ha quitado el sueño a casi nadie y era más importante recolectar datos de usuarios que respetar y garantizar los derechos de los mismos y con la nueva Ley de protección de Datos esto va a cambiar, o al menos ese es su objetivo.
Hasta ahora se han realizado acciones que rozaban la ilegalidad con los datos de los usuarios, porque comprar y vender usuarios, no estaba del todo previsto en el marco legal, pero ahora lo está.
Con la ahora el foco de atención se pone sobre el usuario, los datos son suyos y no del web master o dueño del negocio, y el usuario puede hacer con sus datos lo que le plazca, siempre estando bien informado.
El usuario ahora tiene más control sobre su propia información personal en los espacios digitales.
Aspectos básicos que se modifican con la GDPR
- Consentimiento expreso de los usuarios al dejar cualquier tipo de dato en tu página web: ya sea un registro de usuario, una suscripción a una newsletter, consultarte algo por el formulario de contacto de tu página, realizar una compra online…
- Principio de licitud, lealtad y transparencia: El consentimiento expreso conlleva una información clara, accesible y veraz de lo que se va a hacer con los datos del usuario en cada caso, bajo el principio de limitación de la finalidad y el principio de licitud, lealtad y transparencia, por ejemplo, si recoges datos de un usuario porque se ha registrado en tu tienda online, no puedes usar esos datos para enviarle información comercial, si quieres hacerlo, debería expresas su consentimiento explícito para ambas finalidades.
- Se refuerza el derecho al olvido y al de oponerse al uso de datos personales para el establecimiento de perfiles (tratamiento automatizado de datos destinado a evaluar aspectos personales o analizar o predecir cuestiones como la situación económica del usuario, sus preferencias e interesas, su ubicación, etc.)
El consentimiento en la GDPR
Este es el punto mas importante de todos, el consentimiento explícito del usuario que deja sus datos en tu aplicación web, recalcamos, tanto en una aplicación web meramente informativa, como si vendes online, como si tienes una web inmobiliaria, un gestor documental online, un comparador de precios, etc. Con que rellenen un formulario de contacto, ya están dejando sus datos.
El consentimiento debe ser:
- Específico: con una finalidad concreta.
- Expreso: no valen las casillas premarcadas o el que si el usuario sigue navegando por la página se entiende que ha dado su consentimiento y situaciones similares (inacción u o misión)
- Verificable: se debe poder demostrar que lo has obtenido.
Este consentimiento debe darse en cualquier parte en la que los usuarios dejen sus datos: formularios de registro, de suscripción, de contacto…
¿Y con los usuarios que ya habían dado su consentimiento antes del cambio de la ley de protección de datos?
Los usuarios que habían dado su consentimiento tácito, ahora deben darlo explícito para poder seguir trabajando con sus datos, lo cual afecta a los suscriptores y a las personas registradas en tu web.
Para los suscriptores y registrados la mejor manera es enviar un boletín/newsletter donde instarles a que confirmen su suscripción mediante un consentimiento expreso.
¿Vas a perder suscriptores y usuarios registrados? Pues sí, pero se quedarán contigo los que realmente están interesados en seguir recibiendo noticias tuyas o comprando/consultando tu página web, así que tampoco pierdes mucho si dejas por el camino gente que ya había perdido el interés.
Sanciones e indemnizaciones por no cumplir la GDPR
Las sanciones se han incrementado, antes la multa máxima era de 600.000 euros, con el nuevo reglamento las infracciones LEVES pueden llegar a los 10 millones de euros o a un 2% del volumen del negocio anual del ejercicio anterior.
En el caso de infracciones GRAVES se llega a los 20 millones de euros o a un 4% de volumen del negocio anual del ejercicio anterior.
Y no solo nos pueden multar con estas impresionantes cifras, otra de las novedades de la nueva Ley de Protección de Datos es que se pueden pedir indemnizaciones para los afectados por el no cumplimiento con esta normativa.