Qué necesito para adaptar una web al reglamento RGPD

Tras mi experiencia adaptando algunas páginas web al nuevo reglamento RGPD, he pensado que tal vez tú también necesites algo de ayuda para comprender en qué consiste cumplir con la normativa RGPD y lo más importante, qué se necesita para adaptar una web a la RGPD.

Además te presentaré una herramienta legal online con la que podrás obtener la documentación necesaria en poco más de hora y media, la APP de LEXblogger.

Dicho esto, comentar que me sorprendió tanto, la poca visibilidad que tuvo este asunto los meses anteriores a su entrada en vigor en el ya lejano 25 de Mayo de 2018, como la cantidad de webs y blogs que continúan hoy en día sin adecuarse al reglamento.

La poca visibilidad fue tal, que una vez llegado el momento de implementar la temida RGPD en las páginas web de mis amigos, al solicitar las coletillas y textos legales a sus gestorías, me encontré con respuestas de este tipo:

• ¿Einng?????
• ¿Qué normativa dices que es esa?????

Y claro, ¿qué haces frente a esas reacciones cuando piensas que son ellos los que deberían ser los primeros en estar informados?

Yo opté por buscar una solución, ya que también debía adaptar mi página web a la normativa RGPD.

Así que lo primero que hice fue intentar comprender qué mierda era eso de la RGPD, porque a mí me pasaba un poco como a las señoritas (y señoritos) que me atendieron en las gestorías.

Pero claro, en mi caso es comprensible. Solo me dedico al diseño de páginas web y mis conocimientos legales a este respecto son bastante limitados (o lo eran entonces).

Empecemos por donde lo hice yo. Es fundamental comprender de qué va todo este asunto para poder ponerlo en práctica, porque lo que se necesita para adaptar una web a la RGPD no se queda solo en la mera adecuación visual.

➡ Es decir, no basta con copiar y pegar los textos legales de otra web en la tuya.

¿Qué es la RGPD?

RGPD son las siglas para el nuevo Reglamento General de Protección de Datos. Una normativa común para todos los países de la unión europea (UE), que en España deberá convivir con la también nueva LOPD, sustituyendo a la anterior (que por cierto pocos cumplían), y con la LSSI.

• La LOPD es la Ley Orgánica de Protección de Datos de Carácter Personal.
• La LSSI es la Ley de Servicios de la Sociedad de la Información.

Por ir resumiendo, que es mucho decir por la cantidad de detalles que debes conocer, su objetivo es aplicar soluciones que protejan los datos de carácter personal.

Deducirás que, si se habla de «aplicar soluciones», cumplir la normativa RGPD no se limita solo a añadir unas páginas legales en el footer de la web como se hacía hasta entonces.

Aclaremos algunos conceptos para entrar en materia.

¿Qué son datos de carácter personal?

Se llama datos de carácter personal al conjunto de datos que hagan que una persona sea identificada o identificable.

En un blog estos serán los datos que conoces de tus usuarios, y que ellos mismos habrán introducido desde algún tipo de formulario (contacto, suscripción, comentarios).

Puede que si tienes un e-commerce dispongas de otro tipo de información, pero en casi todas las webs los datos que dejarán sus usuarios para interactuar en ella serán los mismos:

• Su nombre.
• El teléfono.
• Su correo electrónico.
• La URL de su web.
• Su IP (aunque no se la pidas).

Quién debe cumplir con la RGPD?

La RGPD es una legislación que debe cumplir todo aquel que recopile y trate datos de carácter personal de ciudadanos europeos.

Es decir, todas las instituciones públicas, empresas privadas, autónomos, ONGs, asociaciones culturales, agrupaciones, comparsas, fallas, bloggeros…

Si eres blogger pensarás que si no dispones de una lista de suscriptores tienes el problema resuelto porque no recopilas datos personales ¿verdad?

Total para un artículo que subes cada dos o tres meses donde muestras tus habilidades con el bricolaje…

¡Pues te equivocas! 😳

Recopilas datos de distintas formas:

• Desde el formulario de contacto de tu blog.
• Desde el formulario de comentarios del blog.
• Si tu correo electrónico es visible en una red social, o tal vez está impreso en una tarjeta de visita y te pueden enviar por ejemplo un curriculum.
• Desde Google Analytics u otras herramientas de seguimiento.
• Y un largo etc.

Y los almacenas en diferentes lugares aunque no lo sepas, por ejemplo en tu gestor de correo, tu gestor de contenidos (CMS) o tu hosting.

Qué pasa si no cumples con la normativa RGPD

Pues realmente no sabremos qué es lo que ocurre si te pasas la normativa por el forro de los… (piiip) hasta que no existan antecedentes o jurisprudencia de esa.

El tiempo lo dirá.

Lo que tenemos claro es que las amenazas son bastante gordas. Las multas llegan hasta los 20 millones de euros o el 4% de la facturación anual. Aunque en circunstancias solo llegarán a los 600.000€, que en comparación es todo un alivio 😉

El problema radica en que el que no cumpla con la normativa RGPD quedará expuesto.

Ya sea su web, una factura, un presupuesto o un correo electrónico, dejará a la vista si se ha adecuado o no la normativa. Porque ¡no te lo pierdas!, hay que añadir coletillas legales a todo eso.

Hasta puede que los más espabilados dediquen 2018 a rastrear internet en busca de páginas web que no cumplan la RGPD para dejar ahí sus datos (por ejemplo desde el formulario de suscripción).

¡Y cuidado!, que si luego ese mismo usuario te denuncia, puede que junto con la multa por la mala gestión de los datos personales que te imponga la AEPD (Agencia Española de Protección de datos), tengas que pagar también una indemnización al estafador.

¿Qué tengo que hacer para adaptarme a la normativa RGPD?

Lo primero es entender qué supone esta normativa.

Cumplirla más tarde es relativamente fácil, aunque sí es cierto que requiere dedicarle algo de tiempo y un poco de organización. Cuesta más tomar conciencia y entender en qué se basa la normativa RGPD que aplicarla a una página web.

En el caso de las grandes empresas, que gestionan multitud de datos, la cosa es diferente porque les va a suponer un trastorno mayor.

Para los blogueros/as, por mucho que no moneticen su web o blog, el mayor problema va a ser la inversión económica. Será necesario generar alguna «documentación legal a  medida de cada web».

Por tanto no queda más remedio que añadir este gasto fijo al coste inicial de una página web o un blog, y por supuesto a la tuya, si ya la tienes en marcha y todavía no la has adaptado.

Sintiéndolo mucho, y por más que lo he intentado, me ha sido imposible resumir en unas pocas líneas en qué consiste adecuar una web a la RGPD. Así que lo mejor es que vayamos por partes.

Novedades importantes de la nueva RGPD

Con la LOPD existente hasta entonces, los bloggers y webmasters se limitaban a copiar de otras webs los textos para sus páginas de aviso legal y política de cookies.

En el caso de la RGPD la cosa va más allá porque hay otro tipo de «documentación no pública» que debes poseer, y que no te va a dar tiempo de falsificar ante una inspección.

Aparece la figura del Delegado de Protección de Datos

Que debe asegurarse de que los datos personales:

• Se recojan con fines explícitos y legítimos.
• Sean tratados de forma lícita, legal y transparente.
• Son adecuados y limitados a los fines para los que se tratan.
• Son exactos y están actualizados.
• Solo se conserven el tiempo necesario.
• Se tratan con la seguridad adecuada.

Esta figura debe adoptar las medidas técnicas y organizativas necesarias para el cumplimiento de lo anterior. Así como de informar a la Agencia Española de Protección de Datos y al interesado, dentro de un plazo específico, en caso de alguna filtración de los datos.

Asimismo debe tener un contrato con el encargado del tratamiento de datos y efectuar auditorías sobre él.

Para que lo entiendas.

Si no se lo indicas expresamente, cuando alguien te envíe una consulta desde el formulario de contacto de la web, no puedes añadirlo a la lista de suscriptores.

En ese formulario tampoco puedes solicitar más datos que los necesarios para contestar a la consulta.

➡ En este caso sería suficiente con el nombre (sin apellidos) y el email.

¿Cuándo es lícito el tratamiento de los datos?

Siempre que se cuente con alguna de las bases de licitación que permiten el tratamiento de datos de carácter personal:

• Consentimiento explícito.
• Se esté ejecutando un contrato con el interesado.
• Para cumplimentar una obligación legal o un asunto de interés público.
• Para proteger los intereses vitales del interesado.
• Cuando se cuenta con un interés legítimo por parte del responsable de los datos.

¿Cómo debe otorgarse el consentimiento?

• El consentimiento debe otorgarse de manera libre, informada, específica y de forma inequívoca. Ya no vale el consentimiento tácito (que se suponga o intuya).
• Si es posible por escrito, mediante una solicitud inteligible y accesible, en un lenguaje claro. Y debe poder demostrarse en el futuro.
• Las facilidades para dar el consentimiento deben ser las mismas que para retirarlo.

Por ejemplo en un formulario de suscripción, el usuario deberá pulsar un checkbox donde indique explícitamente que ha leído la política de privacidad o la documentación informativa referente al tratamiento de los datos indicados en ese momento.

Por supuesto que el dato del consentimiento debemos almacenarlo de alguna forma.

Entenderás que si tu lista de suscriptores no almacena este dato, tendrás que perderla o actualizarla.

¿Cuáles son los derechos del interesado?

El interesado tiene derecho a:

• La transparencia y a la información.
• El acceso, eliminación y oposición.
• La supresión, olvido, limitación del tratamiento según los fines, y a la portabilidad de los datos.

Con lo que existe un mayor control por parte del interesado respecto a sus datos personales, que conlleva responsabilidades. En todo momento el interesado debe conocer la finalidad del tratamiento de sus datos, y por supuesto el nombre del delegado del tratamiento de datos.

Novedades con respecto a la anterior LOPD

La anterior normativa se centraba en los ficheros; que había que comunicar a la AEPD, a la vez que en el origen de los datos. Ahora se basa en los tratamientos y su finalidad.

Desde el 25 de Mayo de 2018 un origen puede tener diferentes finalidades y por supuesto distintos responsables del tratamiento.

• El responsable decide quién y cómo puede acceder a los datos, y cuáles son las medidas para segurizar este tratamiento.
• En el registro debe dejar claro el origen de la información, el tipo, el encargado, el periodo de retención de los datos, etc.
• Se debe demostrar en todo momento que se está realizando un tratamiento adecuado de los datos de carácter personal.

Y ahora que ya sabemos más o menos de qué va la RGPD vamos a lo que nos interesa, qué se necesita para adaptar una web a la RGPD.

Qué se necesita para adaptar una web a la RGPD

Después del tostón, que espero que hayas leído y entendido, vamos repasar qué necesitamos para tener una web totalmente legal que cumpla la normativa.

➡ Que en tu web será más o menos como en la de los demás.

Qué debe incluir una web que cumpla la normativa RGPD

Una web que cumpla el nuevo reglamento RGPD no se queda solo en lo visible. Es necesario completar y/o justificar esa información con documentación complementaria que deberás guardar en tu ordenador, almacenada impresa en un archivador, o las dos cosas.

La famosa barra de cookies

Antiguamente en algunos sitios web las barras o banners de cookies se ocultaban haciendo scroll. Ahora debe ser el usuario el que pulse el botón de aceptación de las cookies para que se oculte.

La barra o banner debe incluir un enlace a la página de política de cookies.

ACTUALIZACIÓN: Desde el 1 de Octubre de 2019, la política de cookies ha cambiado. Aquí tienes un tutorial por si necesitas instalar Quantcast, el nuevo banner de cookies 🙂

Página legales en la web

Para cumplir la normativa RGPD tu web debe incluir como mínimo 3 páginas informativas, con enlaces visibles a ellas desde cualquier sección del sitio web. Normalmente se colocan en el footer (faldón a pie de página):

• Aviso legal
• Política de privacidad
• Política de cookies

Estos documentos van personalizados para cada página web. Con lo que si quieres copiar los míos tendrás que cambiar parte de los datos. Ya que en estos documentos se habla del hosting, de cómo se llaman los ficheros para el tratamiento de los datos, de algunas herramientas que uso…

O sea, de cosas que posiblemente serán completamente diferentes a las tuyas.

Coletillas legales en la web

Las coletillas legales son una primera capa informativa que debe aparecer en:

• El formulario de contacto.
• El formulario de suscripción.
• Los formularios de comentarios.

Checkboxes con la aceptación almacenable y demostrable

Junto a las coletillas legales de los formularios debes incluir un checkbox, que tendrá que marcar el usuario antes de enviar el formulario, para indicar que ha aceptado la política de privacidad.

En el texto junto al checkbox hay que añadir un enlace a la página de política de privacidad.

Con lo que estos formularios pasan a quedar algo así de horribles con la coletilla legal y el checkbox.

Puedes aportar tu toque de estilo personal con algo de CSS siempre y cuando no elimines alguna información necesaria.

Coletillas legales en otros medios

De la misma manera que es preciso añadir la primera capa informativa a los formularios deberás incrustar otra en cualquier medio de comunicación que utilices.

• Boletines de email marketing.
• Correo electrónico.
• Facturas, presupuestos y cualquier comunicación con el usuario.

Documentación interna para tu archivo

La parte visible del cumplimiento de la RGPD se complementa con documentación interna referente a una gran cantidad de datos.

Los documentos se redactan en función del sistema operativo con el que accedes a los datos, tu gestor de contenidos, los programas con los que redactas los presupuestos, tu plataforma de email marketing, el disco duro donde almacenas las copias de seguridad, la carpeta donde guardas las facturas, tu gestoría, tu empresa de limpieza, tu antivirus, tu hosting, las personas que acceden a tu CMS, y un laaaargo etc.

En rasgos generales, y dependiendo del tipo de web o blog, los documentos son los siguientes:

Contrato firmado por terceros

A los que cedes esos datos personales.

Por ejemplo, al hosting; que guarda los correos o los datos de los usuarios que comentan en tu blog, la gestoría; que te prepara los impuestos, o tu diseñador web; que puede acceder a cualquier tipo de dato que haya en el hosting o en el CMS (WordPress, PrestaShop…).

Contrato de confidencialidad

Que debes tener con las personas que puedan tener acceso a los datos.

Por ejemplo, tu amigo que te ayuda a actualizar WordPress o la persona que limpia tu oficina y puede ver sobre la mesa la factura de un proveedor autónomo, etc.

Registro de tratamientos

Donde identificas asuntos sobre los diferentes tratamientos (suscriptores web, posibles clientes, clientes, proveedores…).

¿De dónde saco toda esa documentación legal?

Vale, te has hecho la misma pregunta que me hice yo en su momento.

Tienes dos opciones:

La primera es contratar una empresa que te proporcione los documentos legales personalizados a tu negocio, te haga una auditoría posterior y te cobre una pasta.

La segunda pasa por comprar la APP de LEXblogger y hacerte tú mismo/a la adecuación.

Que es lo que he hecho yo para adaptar mis páginas web a la normativa RGPD 😀

Me ha gustado tanto la aplicación de LEXblogger, que he decidido promocionar su venta. Así que si la compras desde cualquiera de los enlaces que encuentres en esta página web, aunque a ti te costará lo mismo, yo me gano una pequeña comisión.

¿En qué consiste la APP de LEXblogger ?

Yo comparo la APP de LEXblogger con el programa padre para hacer la declaración de la renta. Vas rellenando los campos de un formulario, y al final del proceso puedes extraer los documentos y coletillas legales adaptados a tu página web o blog.

Unos documentos deberás archivarlos, otros te proporcionarán el contenido para las páginas legales de la web, otros serán las distintas coletillas legales para las comunicaciones y formularios, etc.

Tan solo tendrás que pulsar sobre los enlaces para descargar la documentación legal que te hace falta para adaptar tu sitio web.

Incluso te proporcionará valiosos manuales que te permitirán cumplir por completo con la RGPD.

¿Cuanto vale la APP de LEXblogger?

La APP tiene tres variantes, pero con la Legal Box Basic tendrás más que suficiente para cualquier página web o blog al uso.

La aplicación cuesta 120 € + iva el primer año. Muy lejos de otros presupuestos que he cotejado durante la investigación.

Si quieres una renovación en los años posteriores el precio es de 60 € + iva al año.

La adaptación de una web a la normativa RGPD no termina en el instante en que la adecúas. Requiere de una actitud activa y de una continuidad en el tiempo.

Así que, si en el formulario de la aplicación te pedían datos sobre sistemas operativos, aplicaciones informáticas o de tu hosting para proporcionarte la documentación, «en el momento haya algún cambio en esto», debes volver a la aplicación y extraer los documentos pertinentes actualizados.

Aquí es donde entra la actualización anual.

No obstante, si estás seguro de que no vas a cambiar nada en el futuro (que lo dudo), o que vas a poder efectuar los cambios a mano, no hace falta que pagues al año siguiente.

Eso sí, cuando caduque la licencia tus datos serán borrados de la plataforma, y si te hace falta recurrir a ella para efectuar un cambio posterior deberás comprarla de nuevo.

¿Cómo comprar la APP de LEXblogger?

Comprar la aplicación por internet es muy fácil, basta con pulsar sobre este enlace para que se te abra la página informativa desde donde comprar la licencia anual.

Al acceder a la página encontrarás un vídeo en el que Pablo Borrás (socio fundador de LEXblogger) te presenta la aplicación.

Debajo algunos datos informativos interesantes, y después el botón de compra con el texto «Sí quiero mi aplicación legal», que es el que debes pulsar.

¿Sirve la APP de Lexblogger para más de una página web?

Teóricamente no. Pero usando como referencia la documentación de la primera web puedes tunear los documentos de la segunda.

Supondrás que adaptar una web a la RGPD tampoco consiste en comprar la aplicación, ya sabes que es un conjunto de medidas y actitudes. Así que si te ves capaz de rellenar los documentos para la segunda web tú mismo, puedes hacerlo tranquilamente.

En mi caso, como tengo dos páginas web y no me apetecía calentarme la cabeza, he decidido comprar una segunda licencia.

Como el titular del dominio soy yo en ambos casos, la segunda licencia me ha costado justo la mitad que la primera: 60 € + iva.

¿Sirve la APP de LEXblogger para adecuar cualquier sitio web?

NO.

Si tienes una web o blog dentro de lo que se considera normal, no tienes ningún problema en recurrir a esta herramienta.

La cosa cambia cuando los datos que se tratan en tu web o negocio son más especiales o requieren de niveles más altos de seguridad, y por tanto un servicio especializado de consultoría.

Pero no te preocupes que LEXblogger no te deja desamparado y te ofrece ese servicio personalizado también a muy buenos precios.

En la siguiente imagen LEXblogger aclara las excepciones en las que la App no es suficiente

Por si no te has fijado, tampoco es suficiente la herramienta cuando tienes un e-commerce en el que vendas productos físicos.

Tutorial para rellenar el formulario de Legal Box Basic en vídeo

Los chicos de LEXblogger se han tomado la molestia de preparar un vídeo con un caso real, muy parecido al tuyo, en el que van rellenando la aplicación Legal Box Basic paso a paso.

Solo me queda decir que espero haber sido de ayuda y haber resuelto, por lo menos a grandes rasgos, tus dudas sobre qué se necesita para adaptar una web a la RGPD.

About the Author

Ernesto Barrachina

Facebook Twitter Google+

Me dedico al diseño web Valencia y tengo pasión por las herramientas de diseño gráfico, así como por compartir tips de diseño web en forma de consejos y tutoriales "para todos los públicos".