La mayoría de páginas web emplean algún tipo de formulario web (suscripción, comentarios, contacto, etc.), que debe cumplir con la actual normativa de protección de datos para considerarse legal. En este artículo explicamos cómo adaptar a la Ley de Protección de Datos tus formularios web y crear el texto de protección de datos para el formulario de acuerdo a dicha normativa.
En este artículo hablamos de:
Texto de protección de datos para formularios web
Con la entrada en vigor del RGPD, el texto de protección de datos para el formulario web sufrió algunos cambios, en concreto, aquellos referidos a cumplir con el deber de informar sobre el tratamiento y con el consentimiento expreso.
No debemos olvidar que a través de los formularios web se recaban datos personales de los usuarios de la página, como puede ser el nombre o la dirección de correo electrónico, y que, por lo tanto, es necesario adaptar los formularios al RGPD y la LOPD, para cumplir con los requisitos de ambas normativas respecto al consentimiento para el tratamiento y el deber de informar sobre los tratamientos de datos personales.
Hasta el RGPD, el consentimiento tácito para recabar mediante los formularios datos personales, era completamente lícito y permitía a los titulares de la web o responsables del tratamiento, recabar y guardar sus datos con diferentes fines, simplemente avisando al usuario en el correspondiente formulario que al rellenarlo, daba su consentimiento para ello. Actualmente, esto ya no es válido, el consentimiento debe ser expreso y recabarse para cada una de las finalidades para la que se quieran usar los datos personales recogidos (cómo veremos más adelante).
Por ello, todo formulario web, sea de suscripción, para dejar comentarios o para recibir información comercial, debe siempre cumplir con los requisitos establecidos en la normativa de protección de datos, de otra forma, como el responsable del tratamiento, estarás expuesto a denuncias por parte de los usuarios y sanciones por parte de la AEPD (Agencia Española de Protección de Datos).
Por lo tanto, el texto de protección de datos de un formulario web debe incluir:
- Datos de identificación y contacto del responsable del tratamiento
- Finalidad del tratamiento
- Base legitimadora para el tratamiento
- Indicar si se cederán datos a terceros
- Plazos de conservación
- Vía para ejercer los derechos ARSULIPO
- Casilla de verificación para el consentimiento (desmarcada)
- Enlace a la política privacidad
¿Cómo hacer formularios RGPD y LOPD?
Actualmente, adaptar el formulario web al RGPD y la LOPD no es una tarea muy complicada, ya que prácticamente la mayoría de las plataformas para la creación y alojamiento de páginas web, así como de email marketing, cuenta con herramientas o plug-ins RGPD que permiten crear los formularios web de acuerdo a la normativa de protección de datos, por lo que en muchos casos solo tendrás que seguir sus instrucciones, así como los pasos que detallaremos a continuación, para asegurarte que cualquier formulario cumplan con la protección de datos.
Eso sí, si empleas las plantillas para los formularios que incluyen algunas plataformas, asegúrate de que las personalizas y adaptas a tu producto o servicio y que el texto cubre todos los aspectos del RGPD y la LOPD sobre el formulario web.
Pasos para adaptar tus formularios a la protección de datos
Doble capa informativa
La transparencia es uno de los principios recogidos en el RGPD, de donde nace la obligación de informar a los interesados (los titulares de los datos, tus usuarios) del tratamiento y gestión de los datos personales que vas a realizar.
En lo que concierne al formulario y la protección de datos, implica informar a los interesados de todo lo concerniente a dicho tratamiento de datos, desde la identidad del responsable del tratamiento hasta los plazos de conservación de sus datos. O, en otras palabras, informarle de la política de privacidad de la página web, que recoge toda esa información de manera detallada.
Sin embargo, puesto que introducir toda esa información en el formulario no sería práctico a nivel de diseño y estética web, la normativa permite recurrir a lo que llamamos información en dos capas o doble capa informativa.
Esto se traduce en que en el formulario web aparecerá una primera capa informativa con la información básica respecto al tratamiento de datos personales que se va a realizar al cumplimentar dicho formulario y dar el consentimiento para ello por parte del usuario. Esta primera capa contendrá la siguiente información esquemática:
- Identidad del responsable del tratamiento
- Finalidad el tratamiento (para qué se van a usar los datos personales recabados)
- Legitimación del tratamiento (que será el consentimiento expreso)
- Destinatarios de los datos (quién guardará y tratará dichos datos y si serán cedidos a terceros)
- Vía para ejercer los derechos de los usuarios (acceso, rectificación, supresión, limitación, portabilidad y oposición)
Es la misma información que ofrecemos, por ejemplo, en la coletilla del correo electrónico para protección de datos.
El formulario incluirá, además, un enlace a la segunda capa informativa, que es la política de privacidad, donde, como hemos dicho, se ofrece toda la información relativa al tratamiento y gestión de datos personales de manera detallada y exhaustiva, de manera que los usuarios puedan consultarla haciendo un solo clic.
El texto relativo a la política de privacidad y la normativa de protección de datos será claro, fácil de entender y sin ambigüedades. Cómo se inserte o incluya en el formulario dependerá del diseño estético que hayas elegido (o esté disponible en la plataforma o plug-in correspondiente) y cómo quieres que se vea, pero debes tener en cuenta que no puede faltar la información básica y el enlace a la política de privacidad.
Casilla de verificación para recabar el consentimiento expreso
Como ya hemos adelantado, para poder usar los datos personales recabados mediante cualquiera de los formularios que uses en tu página web, es imprescindible recabar también el consentimiento expreso de los interesados, para lo que deberás incluir en el formulario una casilla de verificación desmarcada (es el usuario el que siempre debe marcarla), para que acepte la política de privacidad.
Si, además, quieres usar los datos personales para otras finalidades, como sería la dirección de correo electrónico para enviar tu newsletter, tendrás que incluir otra casilla de verificación más que haga referencia a esta finalidad. Es decir, por cada finalidad para la que quieras usar los datos personales, deberá haber una casilla de verificación que el usuario deberá marcar, otorgando así su consentimiento explícito para ello.
En la siguiente imagen tenéis dos ejemplos de formulario web, el primero cumple con la normativa de protección de datos y el segundo no, puesto que veréis que le falta la información relativa a la política de privacidad y la correspondiente casilla de aceptación de la misma.
Ejemplos de formulario web y protección de datos: Correcto vs Incorrecto
Registrar el consentimiento
Recabar el consentimiento expreso de los interesados en los formularios RGPD, pero no registrarlo, será como no haberlo obtenido. Es cierto que el RGPD no establece ni cita ningún tipo de mecanismo o método para registrar el consentimiento para el tratamiento de datos, pero sí que exige haberlo recogido y poder demostrarlo.
Afortunadamente, la mayoría de herramientas o plug-ins RGPD cumplen con esta función, dejando constancia del consentimiento de los usuarios en un registro que suele poder exportarse en Excel o programas similares, de manera que si empleas alguna de estas herramientas para crear y gestionar los formularios de tu página web, no deberías tener ningún problema en documentar el consentimiento de tus usuarios.
Usar el doble opt-in
El doble opt-in es una herramienta que permite comprobar que la dirección de email facilitada por el usuario en el formulario web es válida y es la suya, puesto que envía un email con un enlace en el que el usuario debe pulsar para confirmar la suscripción. Es especialmente recomendable para formularios de suscripción o de envío de comunicaciones comerciales, puesto que, en cierto sentido, funciona como una doble aceptación del tratamiento y su finalidad.
Además, gracias al doble opt-in evitaremos enviar comunicaciones comerciales a direcciones erróneas o que se hayan conseguido a través de medios ilícitos, ya que al no confirmar la suscripción, los datos del usuario no se almacenarán ni usarán.
El uso del doble opt-in no es obligatorio, pero sí que es recomendable recurrir a él para garantizar que realmente contamos con el consentimiento del usuario para llevar a cabo el tratamiento de sus datos.
Medidas de seguridad para garantizar la confidencialidad de los datos
Finalmente, recuerda que debes garantizar la confidencialidad de los datos personales que tratas, esto implica aplicar, entre otras medidas de seguridad, un cifrado de la base de datos, limitar su acceso mediante credenciales a personal autorizado, mantener actualizado el software y hardware que empleas en tu actividad y, en caso de que se produzca algún incidente de seguridad que pudiera afectar a los datos personales que guardas, notificarlo tanto a los usuarios como a la AEPD.
Si necesitas ayuda para adaptar tus formularios web a la protección de datos, especialmente en lo referente a la redacción de la política de privacidad, el aviso legal web y la política de cookies, en Grupo Atico34 podemos ayudarte. Además, gracias a nuestro software de gestión de protección de datos, elaborar el texto de protección de datos para el formulario se convierte en una tarea sencilla y rápida. No dudes en ponerte en contacto con nosotros y exponernos tus dudas o necesidades.