Aunque en lo puramente tecnológico un blog es una página web, dado que tiene un propósito concreto y que existen diferentes tipos de blog en función de quien los lleve, diferenciamos muchas veces entre blog y web. Por ello, en este artículo vamos a explicar cómo adaptar un blog al RGPD, teniendo en cuenta esas características propias.
En este artículo hablamos de:
¿Es necesario adaptar tu blog al RGPD?
Tanto si se trata de un blog personal como si es el blog de una empresa, sí, es necesaria su adaptación al RGPD, puesto que a través de él, como mínimo se registrará la dirección IP de sus usuarios y si, además, cuenta con sección de comentarios o formularios de contacto o suscripción y emplea cookies (propias y/o de terceros), con mayor razón, puesto que se está produciendo un tratamiento de datos personales.
Ahora bien, dependiendo del tipo de blog y su finalidad, adaptar al RGPD el blog puede ser ligeramente diferente a adaptar tu web al RGPD, en concreto en las obligaciones de la normativa que debes cumplir.
Cabe señalar, que el RGPD en España debes cumplirlo con independencia de qué en plataforma o alojamiento tengas el blog o en qué país se encuentre alojado, puesto que estás tratando con datos personales de ciudadanos de la UE y siempre es de aplicación la normativa de protección de datos.
Cómo adaptar tu blog al RGPD en 6 pasos
A continuación vamos a explicar cómo adaptar tu blog al RGPD en 6 pasos esenciales. Esta guía es válida para cualquier tipo de blog, independientemente de la plataforma que uséis para alojarlo.
1.- ¿Blog personal o blog corporativo?
Lo primero que debemos hacer es diferenciar entre un blog personal y un blog corporativo (el blog normalmente alojado en la página web de una empresa, que se emplea para generar contenido de interés y valor añadido para los usuarios y clientes de la empresa) o blog profesional (empleado por autónomos y freelance para dar a conocer su trabajo y buscar nuevos clientes).
¿Por qué esta diferenciación? Básicamente, porque un blog personal es muy probable que trate menos datos personales de sus usuarios que un blog corporativo o profesional; por ejemplo, en el blog personal puede que solo se requieran datos como un nombre a la hora de dejar comentarios, si estos están habilitados, mientras que un blog corporativo o profesional tendremos formularios de contacto en los que solicitar nombre, email y/o teléfono.
Además, otra diferencia está en la obtención de beneficios económicos directos o indirectos a través del blog. Es posible que un blog personal tenga alguna clase de rendimiento económico gracias a la publicidad, pero hay muchos blogs que prescinden de ella. En el caso de un blog corporativo o profesional, responden a una actividad comercial, por lo que directa o indirectamente generan beneficios económicos para su titular. Esta distinción tiene implicaciones respecto a algunas de las obligaciones legales que un blog debe cumplir en materia de protección de datos y de LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
2.- Elaborar los textos legales
Una de las obligaciones del RGPD que ineludiblemente debes cumplir en tu blog es cumplir con el principio de transparencia, que significa que tienes que informar a tus usuarios (los interesados) de todo lo relacionado con el tratamiento de sus datos (identidad el responsable del tratamiento, finalidad del tratamiento, legitimación, plazo de conservación de los datos, empleo de cookies, etc.).
Esta información se suministra a través de los textos legales web y cualquier blog, sea personal, corporativo o profesional, debe tenerlos, puesto que, como dijimos en el primer apartado, basta con tratar la dirección IP o emplear alguna cookie, para tener que adaptar el blog al RGPD.
En concreto, estos textos legales son:
- Política de privacidad web, en al que suministraremos la siguiente información:
- Identidad y datos de contacto del responsable del tratamiento
- Finalidad del tratamiento
- Destinatarios de los datos
- Transferencias internacionales de datos (si procede)
- Plazo de conservación de los datos
- Información sobre derechos ARSULIPO y reclamación ante la AEPD
- Información sobre las decisiones individuales automatizadas (si procede)
- Política de cookies, dónde informaremos sobre el uso de cookies, qué son las cookies y sus tipos, cómo rechazarlas y facilitaremos una lista con las cookies que usa nuestro blog, con la siguiente información:
- Nombre de la cookie
- Titular
- Duración
- Tipo de cookie
- Finalidad
- Aviso legal web, que deberán llevar aquellos blogs que respondan a una finalidad comercial (blogs corporativos o profesionales) o a través de ellos se obtengan beneficios económicos directos o indirectos (publicidad o patrocinios, lo que puede incluir a blogs personales), sirve para informar de:
- Datos registrales (nombre o denominación social, NIF, registro mercantil, etc.)
- Términos de uso de la web (propiedad intelectual o industrial, responsabilidades, enlaces, etc.)
Además, de estos textos, si utilices tu blog para la venta de algún producto o la contratación online de algún servicio, también deberás redactar e incluir los términos generales de contratación o venta.
Para crear una política de privacidad y el resto de textos legales, debes crear una página individual para cada uno de ellos, que cuelgue de la URL principal (por ejemplo, www.miblog.wordpress.com/politica-privacidad), que debe ser accesible desde cualquier sección de tu blog, por lo que normalmente, se coloca un enlace a la misma en el footer. En los blogs, se pueden crear páginas o subpáginas para publicar cada uno de los textos legales y, a través de un widget, enlazarlos en el footer, de manera que siempre estarán accesible y localizables (si tienes un blog en WordPress, en cómo cumplir el RGPD en WordPress puedes encontrar más información)
Para los que utilicéis plataformas de blogging gratuitas (como Blogspot o WordPress), aunque deberéis crear y enlazar la política de privacidad (y, en su caso, el aviso legal), respecto a la política de cookies y el aviso de cookies, la suministrará la propia plataforma, aunque si usáis otras cookies, deberéis hacer el correspondiente texto.
Finalmente, cabe señalar que estos textos legales web son lo que denominamos segunda capa de información, lo que quiere decir que hay una primera capa, que tratamos en el siguiente paso.
3.- Gestión de la recogida de datos
En aquellos blogs que recogen datos personales, como, por ejemplo, a través de formularios de contacto, botones de suscripción, comentarios, etc., es necesario tanto contar con el consentimiento de los interesados para recoger y tratar sus datos, como informarles sobre el tratamiento de sus datos. Esto también es de aplicación para las cookies.
Puesto que incluir toda esa información que debe ir en los textos legales en estos elementos de recogida de datos sería inviable, se recurre a la citada primera capa de información. Se trata de un texto en el que de forma breve y esquemática se ofrece la información básica sobre privacidad y se proporciona un enlace a la política de privacidad. Tal y como podéis ver en el ejemplo:
Ejemplo de formulario RGPD para blog.
Para recabar el consentimiento en este tipo de elementos, se debe incluir una casilla de aceptación desmarcada, como veis en la imagen.
Respecto a las cookies, esta primera capa de información se corresponde al aviso de cookies o banner de cookies. Este aviso cumple con una doble función, por un lado, informar básicamente sobre las cookies que emplea el blog, incluyendo un enlace a la política de cookies. Y, por otro lado, bloqueando la instalación de las mismas en el navegador de los usuarios hasta que estos los aceptan (o mantenerlas bloqueadas sin son rechazadas). Es decir, el aviso de cookies también se emplea para recabar el consentimiento para el uso de las mismas.
Como hemos dicho, si usáis plataformas gratuitas para alojar vuestro blog, el aviso de cookies lo pondrá la plataforma. Para los blogs corporativos o profesionales, este aviso deberéis hacerlo e implementarlo vosotros (existen plugins que os facilitarán esta labor, incluso si no tenéis muchos conocimientos técnicos).
Lo ideal sería que vuestro aviso incluyera un botón para aceptar cookies, otro para rechazarlas en su totalidad y un tercero para configurarlas de manera individual (aunque también se admiten aquellos con un solo botón de aceptar y otro para configurar). Os dejamos un ejemplo de muestra:
Ejemplo de aviso de cookies para blog.
4.- Registrar el consentimiento
Como cumplir con el RGPD en el blog implica demostrar que cumplimos con sus obligaciones, es necesario que el consentimiento de los usuarios para el tratamiento de sus datos quede registrado. Para ello deberemos usar herramientas o plugins que generen este tipo de registros (una vez más, las principales plataformas de blogging cuentan con estas funciones a través de complementos para el cumplimiento del RGPD).
Además de registrar el consentimiento, también deberemos ofrecer una vía para su revocación sencilla y automática. Esta podemos facilitarla a través del envío de una comunicación para validar el correo electrónico utilizado en un formulario o caja de suscripción (que además, es un método conocido como doble opt-in, que permite verificar los contactos).
Así mismo, en cualquier comunicación que enviemos a nuestros usuarios o suscriptores, deberemos incluir una coletilla de protección de datos al final del email (puede hacerse con la firma), que incluirá la información de la primera capa informativa y un enlace para darse de baja o revocar el consentimiento dado.
5.- Revisar qué herramientas y plugins usa tu blog
Es muy probable que en tu blog emplees herramientas y plugins de terceros con los que gestionarás datos personales, por ello, debes asegurarte de que sus desarrolladores o titulares cumplen también con el RGPD (especialmente si son de fuera de la UE o sus servidores están fuera de la UE, porque entonces estaría realizando una transferencia internacional de datos).
Además, con ellos y con cualquier otro servicio online al que cedas datos personales, deberás formalizar un contrato de encargado de tratamiento (o, como mínimo, firmar un acuerdo de adhesión). En este contrato se especifican las condiciones y responsabilidades del encargado respecto al tratamiento de datos personales cedidos o a los que tiene acceso.
6.- Gestión de derechos ARSULIPO
Finalmente, deberás facilitar una vía para que los interesados puedan ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición). Esta vía suele ser una dirección de email.
Como responsable del tratamiento deberás gestionar estas solicitudes y responderlas en tiempo y forma (con carácter general, dispones un mes de plazo para responder). Y si deniegas estos derechos, debes hacerlo de forma justificada y motivada. Así mismo, indicarás que los interesados pueden reclamar ante la AEPD.
Adapta tu blog al RGPD con ayuda profesional
Cómo ves, adaptar tu blog al RGPD puede ser una tarea que se vuelve más compleja en función de la finalidad de tu blog y la cantidad de datos personales que vayas a tratar (además, como empresas o profesionales, puede que tengáis que cumplir otras obligaciones más específicas, que, en el caso de las empresas, deberían estar recogidas en su política de protección de datos, como, por ejemplo, la realización de análisis de riesgos o la designación de un Delegado de Protección de Datos).
También requiere tener algunos conocimientos legales y conocer a fondo la normativa de protección de datos y la LSSI-CE, por ello, para evitar posibles denuncias y sanciones por incumplir con el RGPD o hacerlo de manera inadecuada, lo mejor es contar con ayuda profesional, como la que puedes encontrar en Grupo Atico34.
No solo te asesoraremos ante cualquier duda, también nos ocuparemos de la redacción de los textos legales de tu blog, completamente personalizados y adaptados a tu actividad, y de cualquier otro tipo de documentación exigida por la normativa, además de ofrecerte otros servicios que puedas necesitar (análisis de riesgos, medidas de seguridad, DPO, etc.).
