¿Acabas de estrenar tu página web y no tienes muy claro cómo cumplir con la normativa de protección de datos? En este artículo explicamos cómo adaptar una web al RGPD en 10 pasos.
En este artículo hablamos de:
¿Es necesario adaptar mi página web al RGPD?
Sí, es necesario adaptar tu página web al RGPD; es indiferente si se trata de una web corporativa, una web informativa, una tienda online o una web para demostrar tu pasión por un hobby o producto concreto o tu porfolio de artista, como mínimo esa web va a registrar la dirección IP de sus visitantes y, si ya cuenta con otros elementos como cookies (sean propias o de terceros), formularios de suscripción o comentarios, vas a tener que llevar a cabo la adaptación al RGPD de la web.
Cumplir el RGPD en España (y resto de países de la UE) es una obligación legal, por lo que no hacerlo o hacerlo de manera insuficiente o inadecuada es motivo de denuncia y sanción por parte de la AEPD (Agencia Española de Protección de Datos).
Igual piensas que tu pequeña web no va a llamar la atención de nadie y que puedes ignorar algunos o todos los aspectos a cumplir del RGPD, pero estarías cometiendo un error que puede conllevar una multa de cuantías importantes. Cualquier persona que detecté una infracción de la normativa de protección de datos en la página web podría denunciarte ante la AEPD.
Y si tu web es la web corporativa de tu negocio o empresa o de tu e-commerce, tienes muchas más razones para cumplir con el RGPD y no arriesgarte a sufrir, aparte de una sanción, la pérdida de reputación y confianza que supone vulnerar el derecho a la protección de datos y la privacidad de tus usuarios y clientes.
Cómo adaptar tu web al RGPD en 10 pasos
Antes de lanzar tu web al ciberespacio, estos son los 10 pasos que debes dar para adaptar tu web al RGPD:
1.- Redacta y publica los textos legales web
Siempre que se trate con datos personales, por mínimos que sean, se debe informar a los interesados (los titulares de los datos personales, en este caso, los usuarios y visitantes de tu web) de todo lo relacionado con dicho tratamiento (identidad del responsable del tratamiento, finalidad del tratamiento, legitimidad del tratamiento, plazos de conservación, etc.).
En el caso de las páginas web, esta información se suministra en los denominados textos legales, que son:
- Política de privacidad web (aquí se recoge toda la información relativa al tratamiento de datos que se hace en la web, incluidas, en su caso, las cesiones a terceros y las transferencias internacionales de datos, así como si la red emplea cookies, cómo ejercer los derechos ARSULIPO, y, si procede, la explicación sobre el uso de decisiones individuales automatizadas, incluida la elaboración de perfiles).
- Política de cookies (en ella se deben recoger todas las cookies que se usan en la web, indicar el nombre de su titular, su propósito y el plazo de conservación).
- Aviso legal web (en este texto se recogen todos los datos empresariales e identificativos del titular de la web, siempre y cuando se trate de una web corporativa o la página web genere beneficios económicos directos o indirectos, que también incluyen la publicidad y el patrocinio, si los ingresos son para el titular).
Tanto para crear una política de privacidad para la web como la política de cookies y el aviso legal, debes tener claro el propósito de tu web y los tratamientos de datos personales que tienes previsto recabar.
Cada uno de estos textos legales deben publicarse en una página independiente (pero que cuelgue de la URL principal, por ejemplo, www.mishobbys.com/politica-privacidad) y que sea fácilmente localizable y accesible desde cualquier sección o apartado de la web, motivo por el cual, lo habitual es encontrarlas en el footer.
Para integrar estos textos, la mayoría de plataformas para la creación y alojamiento de páginas web cuentan con plugins u otros complementos que nos ayudarán a configurar las páginas de textos legales y publicarlas dentro la web principal (por ejemplo, para cumplir con el RGPD en WordPress existen plugins específicos). Eso sí, los textos deben estar adaptados a tu web y tu actividad (es decir, que no vale el copia-pega de otra política de privacidad).
Señalar que estos textos legales funcionan como una segunda capa de información, en la que se ofrece la información detallada sobre el tratamiento de datos y la gestión de la privacidad en la web. La primera capa, desde la que se tiene que remitir a esta segunda mediante enlace, ofrece una información básica sobre privacidad a los usuarios y podemos encontrarla en el aviso de cookies, los formularios o los comentarios.
Finalmente, los textos legales web deben estar redactados con un lenguaje claro y comprensible para cualquier tipo de usuario.
2.- Crea e implementa el aviso de cookies
El aviso de cookies o banner de cookies cumple una doble función en tu web respecto al RGPD; por un lado, sirve para bloquear las cookies hasta que el usuario las acepte (o siga bloqueándolas si las rechaza). Y, por otro lado, a través de él recabarás el consentimiento del usuario para el uso de las cookies de tu web (sea este para todas las cookies o solo para aquellas que el usuario acepte).
Por lo tanto, el aviso de cookies debe saltar siempre que un nuevo usuario accede a tu web (o cuando las cookies han sido borradas del navegador). Aunque no hay una norma estándar para cómo debe ser el aviso de cookies, lo ideal es que, aparte del botón de aceptar o configurar, tenga un botón para rechazar, de esa forma se facilita la acción al usuario.
Ejemplo de aviso de cookies que cumple el RGPD.
Así mismo, el aviso de cookies debe incluir un enlace a la política de cookies.
3.- Lleva a cabo análisis de riesgos
De cada tratamiento de datos que realices a través de tu página web, es necesario que realices un análisis de riesgos para los derechos y libertades de los interesados, derivados de dichos tratamientos.
Este análisis de riesgos tiene como finalidad aplicar las medidas de seguridad más adecuadas para minimizar las probabilidades de que se produzcan dichos riesgos. Por ejemplo, si en tu página web tienes gestores de publicación y edición de contenido, estos no tienen por qué tener acceso a los datos personales de tus usuarios, por lo que una medida de seguridad será establecer privilegios de acceso al dashboard (o panel de control) de la web.
Ten en cuenta que si en tu página web se van a tratar datos personales de categorías especiales (art.9 del RGPD), tendrás que llevar a cabo también una evaluación de impacto en protección de datos.
En cualquier caso, lo recomendable sería no tratar este tipo de datos en tu web (salvo que sea imprescindible para su actividad).
4.- El registro de actividades de tratamiento
Es muy probable que si se trata de una web corporativa, ya cumplas con esta obligación. Pero si no es el caso, llevar el registro de actividades de tratamiento es una obligación en caso de que trates datos personales de manera sistemática o a gran escala, así como si tratas datos de categorías especiales.
Así mismo, incluso si no se tiene la obligación de llevar este registro, recomendamos hacerlo, porque te ayudará a tener un mejor control y gestión de los datos personales que tratas, sus plazos de conservación y sus medidas de seguridad.
El registro de actividades de tratamiento debe hacerse para cada tratamiento de datos personales que realices, es un documento que se debe mantener por escrito y en el que se recoge la siguiente información:
- Datos de contacto del responsable del tratamiento (generalmente, el titular de la web)
- Finalidad del tratamiento
- Descripción de categorías de datos y de categorías de interesados
- Categorías de destinatarios
- Transferencias internacionales (si procede)
- Plazos de conservación previstos
- Medidas de seguridad
5.- Adapta los formularios de datos de acuerdo a la ley
Es fundamental que cualquier formulario que uses en la web cumpla con el RGPD. Esto también se aplica a los comentarios, puesto que generalmente requieren facilitar un email o nombre de usuario.
Para adaptar los formularios se debe suministrar a los usuarios una información básica sobre el tratamiento de datos y la política de privacidad de la web (la primera capa de información que mencionábamos más arriba). Así mismo, se incluirá un enlace a la política de privacidad y una casilla de aceptación (desmarcada) para recabar el consentimiento explícito del usuario para el tratamiento de sus datos.
Ejemplo de formulario web que cumple el RGPD.
Si el tratamiento tiene más de una finalidad distinta, se deberá recabar un consentimiento diferente para cada una de ellas (es decir, incluir más capas de aceptación).
6.- La coletilla o cláusula de protección de datos para el correo electrónico
Si vas a enviar correos electrónicos a tus suscriptores o usuarios (para lo que siempre deberás contar con su consentimiento), debes incluir en el cuerpo de correo la coletilla o cláusula a de protección de datos.
En la práctica, esta coletilla de protección de datos para el correo electrónico debe contener la misma información que la primera capa que ponemos en los formularios de la web e incluir un enlace a la política de privacidad de la web. Lo normal es colocarlo como firma del email, de manera que aparecerá en todos tus emails.
7.- Registra el consentimiento de tus usuarios/suscriptores
Debes asegurarte de que las aplicaciones o complementos que uses en tu página web para recabar el consentimiento de tus usuarios y/o suscriptores, dejen un registro de dicho consentimiento, ya que lo necesitarás para poder acreditar que has cumplido con esa obligación del RGPD.
Actualmente, la gran mayoría de estas aplicaciones o complementos para cumplir el RGPD cuentan con esta función, por lo que solo deberás de preocuparte de activarla y comprobar que realmente guarda un registro de los consentimientos.
8.- Si tienes tienda online, no te olvides de la LSSI
Si en tu página web se realiza alguna clase de comercio online o permite la contratación de algún servicio electrónico, también debes cumplir con las obligaciones de LSSI referentes a la protección de datos. En concreto:
- Incluir el aviso legal del que ya hemos hablado más arriba.
- Incluir un texto legal que recoja las condiciones generales de contratación o venta.
9.- Firma contratos de encargo de tratamiento
Si para desarrollar una o algunas de tus actividades en la página web, necesitas ceder o comunicar datos a terceros, es necesario que firme con ellos un contrato de encargo de tratamiento (o, como mínimo, un contrato de adhesión en el que se especifique todo lo relativo a las obligaciones del encargado del tratamiento respecto a la protección de datos y cumplimiento del RGPD).
Esto ocurrirá, por ejemplo, si utilizas una plataforma de email marketing, botones de redes sociales, aplicaciones para medir analíticas de usuarios, servicios en la nube que requieran la cesión de datos personales, etc.
Además, aparte de formalizar este contrato con el encargado del tratamiento, previamente deberás asegurarte de que este cumple con el RGPD, especialmente si no está establecido en la UE, porque además puede implicar una transferencia internacional de datos personales (sería el caso, por ejemplo, de Google Analytics).
10.- Gestiona las solicitudes de derechos ARSULIPO
Finalmente, deberás facilitar a tus usuarios un canal o vía para que puedan ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición). Normalmente, es una dirección de email específica.
Tendrás que gestionar estas solicitudes siempre en plazo y forma (dispones de 30 días para responderlas) y, en caso de negarlas, justificar motivadamente por qué. Además, debes informar a los interesados de la posibilidad de reclamar ante la AEPD.
Adapta tu página web al RGPD con ayuda profesional
Como ves, adaptar la web al RGPD no es cosa de unos minutos, sino una tarea que no solo puede consumir varias horas, sino que además implica llevar un mantenimiento de la misma. Por ello, es recomendable contratar la protección de datos con un servicio profesional, como el que te ofrecemos en Grupo Atico34, para estar seguro de que cumples completamente con la normativa en tu página web, con textos legales totalmente personalizados y adaptados a tu actividad, elaboración y actualización de documentación y asesoramiento continuo para resolver todas tus dudas.