Qué hacer en tu empresa y en tu web en relación con el nuevo reglamento de protección de datos

 

El 25 de mayo del 2018 entra en vigor el nuevo RGPD.

Tras dos años de modificaciones, el nuevo Reglamento General de Protección de Datos entrará en vigor en poco más de un mes y por ello hemos creado este resumen, para ayudarte a aclarar todos los puntos a cumplir.
 

1. Toda la información y normas deben cumplirse aún si los usuarios no están en el Área Económica Europea. 

2. La protección de datos personales es un derecho fundamental, la intimidad y privacidad de estos deben garantizarse siempre que se requieran los datos personales.

3. Las Webs deben garantizar:

  • Transparencia informativa.
  • Lenguaje claro, directo, sencillo e inteligible.

4. Incluirán los avisos legales y la política de privacidad que deberán cumplir con las exigencias de la normativa europea y nacional.

5. Si las páginas web disponen de Google Analitycs, deben incluir claramente la aceptación de utilización de cookies en la misma.

6. Las webs deberán disponer de mecanismos de confirmación expresos siempre que se soliciten datos personales cumpliendo con la normativa:

  • Qué datos personales son recogidos.
  • Cómo serán tratados los datos.
  • Cuáles son sus fines.
  • La identidad responsable de la gestión.
  • El plazo de conservación.
  • El derecho al acceso, rectificación y supresión.
  • Derecho de limitación o de portabilidad de los datos.
  • Posibilidad de presentar una reclamación ante la autoridad competente.

7. El usuario confirmará de forma voluntaria, libre e inequívoca el tratamiento de sus datos personales quedando claro todo lo anterior.

8. Los derechos de los usuarios serán:

  • Transparencia e información.
  • Consentimiento.
  • Derecho al olvido.
  • Derecho a la limitación del tratamiento.
  • Solicitud de transferencias de los datos de un proveedor de servicios en internet a otro.
  • Presentar denuncias.
  • Exigir indemnizaciones por daños y perjuicios debido al tratamiento ilícito de los datos.

9. Nueva figura de Delegado de Protección de Datos obligatorio para empresas públicas, empresas con tratamiento de datos a gran escala y empresas que recojan datos especialmente sensibles como por ejemplo infracciones penales. Esta persona es el asesor de protección de datos de la empresa, y asume las competencias de coordinación y control del cumplimiento de la normativa de protección de datos.

10. Sistema de ventanilla única. Para los titulares de los datos se establece un sistema que en caso de que tengan que realizar una reclamación dentro de cualquiera de los estados miembros, podrán acudir ante la autoridad de su país.

11. Los incumplimientos del Reglamento podrán llevar multas y sanciones de hasta 20 millones de euros o un 4% como máximo del volumen del negocio total.

 

La adaptación _Facilita_ a la RGPD

El Ministerio ha publicado una guía que hace muy sencilla la adaptación a la nueva regulación de protección de datos.

Ya sabrás que esta regulación está hecha pensando sobre todo en controlar más a empresas ‘gran hermano’ como Google, Facebook o Whatsapp, a las que manejan datos sensibles (salud, ideología, religión…) y a las que hacen, compran o venden listados de direcciones para hacer marketing directo. 

Para actividades distintas a estas, incluso cuando sea la publicidad que no implique el tratamiento de datos de carácter personal, se puede utilizar este formulario, que se hace en 5 minutos. La Agencia Española de Protección de Datos no almacena la información que introduzcas en esta herramienta.

Solo necesitas rellenar este formulario, Facilita_RGPD, y:

  1. Incluir las cláusulas informativas en los formularios de solicitud de información, bien si utiliza formularios en papel o a través de tu sitio web.
  2. Implantar las medidas técnicas y organizativas que se le indican en el documento correspondiente.
  3. Revisar los contratos de que dispones actualmente e incluir las cláusulas contractuales y firmarlas en la última hoja.
  4. Elaborar aquellos contratos que todavía no tienes e igualmente incluir las cláusulas contractuales y firmarlas en la última hoja.
  5. Custodiar y mantener actualizados todos los documentos.
  6. No olvides que no necesitas enviar nada a la Agencia Española de Protección de Datos, tan solo debes entregárselos si te los solicita.

 

 

Mailchimp también ha adaptado sus herramientas de gestión de datos personales:

1.- Consigue el consentimiento de forma sencilla con formularios que cumplen con la GDPR:
 

  • Texto de permiso de comercialización: Mailchimp facilita un texto predeterminado para ayudarte a informar a tus nuevos suscriptores para qué recopilas su información y de qué forma la usarás.
     
  • Casillas de verificación de adhesión para todos tus canales: los contactos podrán elegir exactamente cómo y dónde quieren recibir noticias tuyas. Por defecto, incluye 3 de los canales más comunes: correo electrónico, correo directo y publicidad personalizada (como Facebook, Instagram o anuncios de recomercialización de Google), pero puedes añadir hasta 20 canales.
     
  • Espacio para tu propia Política de Privacidad y Condiciones: explica a tus suscriptores cómo pueden ponerse en contacto contigo, dónde encontrar tu Política de Privacidad y comparte con ellos cualquier otra información jurídica aplicable.
     
  • Términos de uso de MailChimp: esta sección te permite informar de que vas a almacenar su información en tu cuenta de MailChimp y les facilita un enlace a su Política de Privacidad y a las Condiciones de Uso. Esta sección está diseñada para ayudarte a ti y para permitir a MailChimp cumplir con el GDPR, por lo que no se puede editar. Si recopilas información de contacto a través de otros medios (que no sean estos formularios respetuosos con el GDPR) y luego los subes a MailChimp, asegúrate de copiar y pegar sus términos de uso en tu formulario de suscripción.
     
  • Mailchimp está certificado en la protección de privacidad UE-EE.UU. y Suiza-EE.UU., por lo que una vez que hayas obtenido los permisos necesarios y completado nuestro Acuerdo de procesamiento de datos (DPA, por sus siglas en inglés) actualizado, podrás transferir de forma legal los datos de los contactos desde la UE a MailChimp.
     

2.- Envía un correo electrónico a tu lista existente para que vuelvan a darte su permiso

Si ya has obtenido el consentimiento de tus contactos por una vía que respeta el GDPR, no es necesario que vuelvas a solicitar su permiso pero, si deseas obtener un nuevo consentimiento y hacerles ver que cumples con la nueva ley, puedes enviar un mensaje de renovación de consentimiento utilizando la nueva plantilla con texto predeterminado (pero editable) para ayudarte a simplificar este proceso.

 

 

Google ha comunicado que su sistema de Analitycs proporcionará las siguientes herramientas:

Actualizaciones de Producto:

  1. Controles de retención de datos que permiten saber cuanto tiempo se almacenan los datos de usuario y evento en sus servidores. Revisa la configuración de retención de datos y modifíquela si fuera necesario.
  2. Google Analitycs, borrará automáticamente los datos de usuarios y eventos con una fecha superior a la fecha de retención que hayas seleccionado.
  3. Estas configuraciones no afectarán a los informes basados en datos agregados.
  4. También se introducirá una herramienta para borrar los datos asociados a un usuario individual (ejemplo página del visitante) de Google Analitycs y/o Analitycs 360. Será una herramienta automática basada en cualquiera de los identificadores comunes enviados a la ID del cliente de Analitycs.
  5. Desde Google se comprometen a ofrecer maneras de proteger los datos. Seguirán ofreciendo los números de otras características y políticas sobre la recopilación de datos, uso y retención para ayudarte en Protegiendo tus datos. Puede ser útil al evaluar el impacto del Reglamento de Protección de Datos para tu compañía y la implementación en Analitycs.

Contrato y Consentimiento del Usuario en relación a las actualizaciones:

  1. Google ha estado implementando actualizaciones en su contrato desde Agosto.
  2. Tanto en Google Analytics como en Analytics 360, Google opera como un procesador de datos personales que se maneja desde el servidor.
  3. Para los clientes de Google Analytics que se encuentran fuera del EEE( Espacio Económico Europeo) y todos los clientes de Analytics 360, los términos de procesamiento de datos actualizados están disponibles para su revisión / aceptación en sus cuentas (Admin ➝ Configuración de la cuenta).
  4. Para los clientes de Google Analytics basados n el EEE, los términos de procesamiento de datos actualizados ya se han incluido en sus términos.
  5. Si no tiene contratado a Google para el uso de sus productos de medición, debe buscar el consejo de las partes con quienes contrata.

Política de Consentimiento del Usuario de la UE actualizada:

  1. Según la política de Google de características publicitarias, los clientes de Google Analytics y Analytics 360 que utilizan características publicitarias, deben cumplir con la Política de Consentimiento del Usuario de la UE de Google. 
  2. La Política de Consentimiento del Usuario de la UE de Google se está actualizando para reflejar los nuevos requisitos legales del RGPD.
  3. Google establece sus responsabilidades para divulgar y obtener el consentimiento de los usuarios finales de sus sitios y aplicaciones en el EEE.