Qué es el RGPD y cómo aplicarlo para tener una web legal

Qué es el RGPD

A solo un mes de un cambio legislativo que cambiará la forma en la que nos relacionamos con la información de los demás, pero ¿qué es el RGPD? ¿Por qué debería importante?

Ya sabemos que internet es una especie de jungla infinita de información personal. Los que trabajamos en entornos digitales, sabemos que la materia prima de nuestro trabajo son los datos personales.

Todos nos esmeramos por llegar a más personas, atraerlas a nuestra marca, fidelizarlos, convertirlos en suscriptores, en clientes y luego en embajadores. Todo este proceso implica recabar, procesar, desmenuzar y gestionar muchísima información personal, sin saber muchas veces qué derechos debemos respetar y cuáles son las reglas de juego a la hora de tratar esa información personal.

El RGPD, o reglamento europeo de protección de datos, son las reglas de juego que debes conocer y respetar para poder gestionar información personal de otros.

¿Por qué una nueva regulación ahora?

El RGPD es un reglamento que armoniza las regulaciones de todos los estados miembros de la unión europea y se impone sobre las regulaciones legales de cada país, en nuestro caso, la LOPD.

Desde luego, hacía falta una armonización legal europea que permitiera un comercio digital integrado y seguro para que todos los que operamos en entornos digitales contemos con un marco legal único y común para todos.

Y esto, por supuesto, nos obliga a una transición.

¿Qué cambia respecto a la LOPD?

El RGPD plantea nuevos desafíos que cualquier profesional o empresa puede transformar en oportunidades si concibe su acatamiento desde el punto de vista estratégico de negocio, en lugar de poner el foco en el cumplimiento normativo por temor a las sanciones, como ocurrió (y ocurre) con la actual LOPD.

El principal cambio es el enfoque: El RGPD propone un cambio de enfoque sustancial en la manera de abordar la protección de datos: este cambio de enfoque se origina en el mayor autogobierno que otorga el RGPD a las personas sobre su propia información personal y esto implica un cambio muy importante en la forma de informar y recabar el consentimiento que se impone a los responsables, para poder procesar datos y en más derechos que atender, como:

El derecho a que se informe adecuadamente y prestar consentimiento o no con lo informado antes de requerir cualquier tipo de dato personal.
El derecho a la transparencia informativa, esto implica ofrecer a usuarios y clientes, información completa y clara sobre el uso de su propia información personal, desechando fórmulas legales farragosas e incomprensibles para el ciudadano medio.
Garantizar un acceso fácil de todos los que te aportan sus datos personales a la información que les concierne.
El derecho al olvido y al de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles.
El derecho a limitar el uso de nuestra información personal a determinadas finalidades.
El derecho a la portabilidad de los datos de un prestador de servicios a otro.

También se exige a las empresas y profesionales una implicación más proactiva y comprometida con la seguridad para que puedan ofrecer una respuesta eficaz a las nuevas amenazas que plantean los entornos digitales.

La carga de la prueba será un factor decisivo en el nuevo reglamento: ya no basta con hacerlo bien o hacer que cumplimos, hay que ser capaz de demostrarlo. Todas las acciones deben ser verificables y esto también marca un antes y un después de la gestión de la información. Toda acción debe ser verificable, ya no basta con que hayas declarado unos ficheros y tengas un documento de seguridad, el órgano controlador te exigirá evidencias de cumplimiento que todo profesional o empresa deberá poder aportar, como medidas de seguridad implantadas, consentimientos acreditables, mecanismos informativos claros, accesibles y completos al servicio de nuestros clientes o suscriptores, etc.

A modo esquemático, estos serían los principales cambios.

¿Por qué debería importarme?

Si tratas datos personales, debes saber gestionar también la confianza de las personas que te confían esa información.

No puedes tratar datos personales de otros si no conoces las reglas de juego y los derechos que debes respetar, es como tener un restaurante y que tu cocinero no tenga un certificado de manipulador de alimentos, eso es impensable, ¿verdad? lo mismo ocurre con los datos, si tratas datos, debes saber hacerlo conforme a la regulación que los protege.

Al mismo tiempo, la gestión de la confianza en un potente factor diferenciador, de tu capacidad de proyectar mayor confianza sobre tu competencia depende en gran parte, tu diferenciación.

Eres un buen gestor de confianza cuando consigues aportar certezas y reducir la incertidumbre de sus clientes o potenciales clientes.

¿Cómo se consigue esto?

Dejando evidencias claras de tu compromiso y responsabilidad con la información que les estás requiriendo, por ejemplo:

Siendo transparente a la hora de informar.
Siendo respetuoso al requerir permiso siempre antes de tratar la información.
Demostrando seriedad y responsabilidad a la gestionar la información de otros con medidas de seguridad claras en todos tus procedimientos y en las herramientas que utilizas.
Poniendo a disposición de tus clientes mecanismos sencillos para que estos puedan ejercitar sus derechos.

En párrafo corto ¿Qué debería hacer para cumplir con el RGDP?

Diagnóstico inicial de todos los focos de entrada/tratamiento de datos personales que recabas en tu actividad, la organización, la gestión y almacenamiento de la información y las medidas de seguridad actuales.
Registro de actividades del tratamiento (RAT): Crear un Registro, por escrito, de cada Actividad de Tratamiento de datos personales realizada bajo tu responsabilidad. Este registro deberá tener un formato electrónico, tal y como el RGPD en su apartado 30.3 señala. En este registro deberás describir qué datos se recogen y de quién, con qué fin se tratan, a quién se comunican y si se transfieren a terceros países, qué medidas técnicas y organizativas se aplicarán, y cuándo se suprimirán.
Aplicar medidas de seguridad técnicas y organizativas: que garanticen el cumplimiento normativo de la nueva LOPD y el RGPD. Estas medidas deben garantizar un nivel de seguridad adecuado para asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los servicios y sistemas de información.
Responder al deber de información y consentimiento: Debes realizar una revisión general de las cláusulas informativas y de los mecanismos para recabar el consentimiento para el tratamiento de datos, en base a los medios y canales que utilices. También debes revisar los consentimientos de los tratamientos obtenidos con anterioridad a la aplicación del RGPD, ya que, a diferencia de la LOPD, no se admiten formas de consentimiento tácito o por omisión.
Adecuar tu página web: Textos del aviso Legal, Política de Privacidad y política de Cookies, todos los sistemas de captura de información y de los mecanismos (doble opt-in) para legitimar el consentimiento en la recogida de datos, el deber de información o que acrediten la identidad del usuario si fuese necesario.
Regularizar las relaciones con colaboradores: Adecuación de las cláusulas a incorporar en los contratos de servicios en donde se recojan las obligaciones de los colaboradores en la materia de manera de protección de datos. También deberás requerir garantías de cumplimiento del RGPD (principio de diligencia debida en la selección de encargados del tratamiento).
Atender a los Derechos de los interesados o afectados: Generar mecanismos destinados a atender los derechos de las personas relacionas con tu actividad y establecer los procedimientos de gestión y de respuesta para cada uno de ellos.
Generar un protocolo para Incidencias y brechas de seguridad: tendrás que disponer de un procedimiento de notificación de las quiebras de seguridad que puedan producirse. Notificación que podrá estar dirigida tanto a tus Clientes, como a las Autoridades de protección de datos o a los interesados/afectados.

Y la pregunta del millón ¿Cómo puedo cumplir con estos requisitos?

En LEXblogger, hemos desarrollado la solución que le permitirá a profesionales y PYMES cumplir con todas y cada una de estas exigencias y realizar una puesta a punto legal al RGPD de forma ágil, sencilla y económica, sin perder rigor, sin renunciar a la personalización.

Se trata de un software de gestión que permite generar toda la documentación, procedimientos y mecanismos informativos que necesita cualquier profesional o empresa para adecuarse al RGPD: registro de tratamientos, modelos de ejercicio de derecho, contratos de encargo de tratamiento, contratos de confidencialidad, modelo de notificación de brechas, textos legales para la web, todos adecuados al RGPD.

Marina Brocca

Consultora RGPD LEXblogger
Web | Twitter

Hasta aquí el artículo de Marina.

A continuación iré recopilando más información sobre el RGPD o GDPR con el fin de aclararte lo máximo este asunto.

Así, te dejo un vídeo de Sage que creo que puede ayudar de forma más visual a entender qué es el RGPD.

¿Quieres añadir un término al diccionario colaborativo? Envíamelo aquí y te escribo con los detalles. ¡Muchas gracias!

Cookie	Duración	Descripción
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duración	Descripción
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duración	Descripción
__stripe_mid	1 year	Stripe sets this cookie cookie to process payments.
__stripe_sid	30 minutes	Stripe sets this cookie cookie to process payments.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
cookielawinfo-checkbox-estadistica	1 year	No description
cookielawinfo-checkbox-necesarias	1 year	No description

Cookie	Duración	Descripción
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_78879219_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

RGPD