Don RGPD de las Europas

Para saber cómo implementar el RGPD, debemos saber lo que es y lo que incluye, y antes de enviar cualquier información a tus suscriptores, tendrás que saber qué les vas a enviar, por qué y la respuesta final será para el cómo, así que guarda esos mensajes de consentimiento para el viernes, que ya no pondremos en ello.

Mitos

Hasta ahora escuchaste que:

  1. No podrás seguir con el email marketing
  2. Debes pedirle a todos tus clientes autorización para tener sus datos personales
  3. Cuando te pidan eliminarlos, tienes que borrarlos de absolutamente todos lados, TODOS
  4. No puedes promocionarte por las redes
  5. No puedes usar whatssapp con tus clientes
  6. Es solamente para quien tiene tienda online
  7. Se aplica solamente para quien tenga clientes residenciados en Europa
  8. Es solo para quien tiene newsletter
  9. Agregue aquí cualquier locura posible relacionada con datos personales

Te digo, nada de esto es cierto. Para saber el por qué, lo que haré primero es decirte las definiciones básicas.

Reglamento General de Protección de Datos

Sí porque hablar de estas letras, sin saber lo que significan, no tiene sentido.

Es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, así de cortico es su nombre, mejor lo dejamos en RGPD ¿no?.

No es nuevo, al menos no en su gran mayoría, solamente amplía derechos que ya teníamos y tiene unas multas muy gordas, razón por la cual se han acordado ahora del olvidado mundo legal de la protección de datos. Esto está legislado desde antes de yo nacer, además de estar en la constitución española y en muchas otras leyes.

No te preocupes, que no te hablaré de historia, porque sé que los antecedentes legislativos no son algo que te llame mucho la atención, solamente me gustaría que, como experta en la materia que te vas a convertir, puedas hablar con propiedad, y decir que:

  • El RGPD fue creado en 2016
  • Que se comienza a aplicar el 25 de mayo de 2018
  • No se “comienza” a proteger los datos personales, ya se viene haciendo desde 1950, en el Convenio de Derechos Humanos, ya que se relaciona con el derecho a la vida privada y familiar, el domicilio y la correspondencia

Anteriormente existía la Directiva 95/46/CE, pero no tenía la fuerza para obligar a los Estados miembros de la Comunidad Europea a nada, porque era un compendio de sugerencias, que luego cada país debía adecuar en una ley propia del país.

Para ello, es que en esta oportunidad, decidieron crear algo con más power, un Reglamento, así que con ley interna o sin ella, todos los países de la Unión deben seguir como mínimo lo que aquí se establece. En estos momentos, mayo de 2018, España no tiene todavía una ley adaptada al RGPD, pero el proyecto ya se está evaluando y puliendo. Actualmente tienes es la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal)  que se basaba en el tipo de dato personal que recogías, y dejaba en un segundo plano lo que hacías con ese dato.

El RGPD en cambio, va a basarse en el tratamiento del dato personal, no importa si solo guardas un nombre y un correo electrónico, que parecen inofensivos, si esto, por la forma como manejas estos datos, representa un peligro para su dueño, entonces tendrás que cambiar la forma como lo estás gestionando.

¿Debes cumplirlo?

Si estás aquí, tienes un negocio, y a juro manejas datos personales, porque tienes clientes, facturas, o si no lo haces al menos tienes un registro de los pedidos que debes enviar, los presupuestos que realizaste, los logotipos que diseñas, en fin que recoges datos y lo sabemos.

¿Quién más debe cumplirlo?

Todo el que recoja datos, lo sé, me repito como el ajo, pero es que esta frase tan sencilla “todo el que recoge datos” no ha sido bien absorbida, y sigo leyendo cosas como: solamente aplica el RGPD para el que tenga newsletter… aquí nos estamos olvidando de los clientes de todo negocio.

Otros mitos similares:

  • Es para quien tenga negocio: el cura de tu parroquia, que debe hacer una lista con todos los niños que harán la primera comunión, también tiene que cumplir el RGPD
  • Si no vendes, no te toca: no vendes pero tienes una lista de proveedores, o tienes un blog con comentarios con los datos de las personas, o un sin fin de posibilidades más
  • Si no eres autónomo, no te corresponde: no tiene nada que ver, el cura del primer ejemplo tampoco es autónomo y le toca

Datos personales

Todo y nada es un dato personal

No puedo darte una lista de lo que son datos personales, porque es algo que varía mucho. Verás, en el reglamento podrás leer que es:

toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (art. 4.1)

Resumido: es una información que identifica a un ser humano (no a una empresa), de manera directa o indirecta. Ya sea en el mundo online u offline.

¿Ya vas viendo por qué te digo que es todo y nada? Te dejo estos dos casos de ejemplo:

Te encuentras un letrero en medio del campo, que dice:

María estuvo aquí….

No te dice absolutamente nada, hay trillones de Marías que quizás estuvieron allí.

María no es un dato personal en este caso.

La persona que estuvo aquí tenía este logotipo en su camisa

Aquí ya sabrás que soy yo

Mi logotipo es un dato personal en este caso (sabes que estoy solamente yo, por ahora, atrás de Marca Craft). Pero si fuese el de Google, ya no lo sería.

En el primero es un nombre, pero no identifica realmente a nadie, en el segundo ejemplo es una imagen que sí va a identificar a alguien. Este es el truco: puede identificar a alguien? Directa o indirectamente? Entonces es un dato personal

Tratamiento:

¿Y ahora qué hago con esos datos? Manejarlos, gestionarlos, ¿cómo?, a través de un tratamiento:

cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; (Art. 4.2)

O sea, todo lo que hagas con ese dato: cómo lo recoges, dónde lo guardas, a quién se lo envías, si esta persona se lo envía a alguien más, si lo eliminas, si no, por qué. Es por eso que esta semana lo que haremos es analizar cuáles datos tienes, sus fuentes, procesos. Para que luego puedas redactar lo que le falta a tu web.

¿Quién es quién?

Hay 3 personajes esenciales en todo esto:

  • El titular de los datos:el dueño de los datos, también llamado interesado, en mi caso, si estás suscrita a mi newsletter, o eres mi cliente, tú eres la interesada.
  • Responsable del tratamiento:quien decide que se harán con los datos del titular, es decir, yo, como dueña de mi negocio, voy a a decidir lo que se hará con la información que recojo.
  • Encargado del tratamiento:aquel que va a manejar los datos, según las instrucciones dadas por el responsable, en mi caso, es Mail Chimp, la plataforma que he elegido para tratar los datos de mis suscriptores. En el caso de mis clientes, proveedores y otros contactos, no lo tengo alojado en ningún CRM, ni nada, lo manejo yo directamente.
 

Mi retrato ha sido hecho por Imma Mestre, el icono de los interesados por Freepik tomado de www.flaticon.com con licencia CC 3.0 BY y el logo es el propio de Mailchimp, para ilustrar lo que digo.

Es aquí donde vamos a quedarnos un buen rato, así que acomódate, busca tu taza, papel, libreta, archivo, lo que sea que uses para apuntar y manos a la obra.

En todo este módulo vas a tener que redactar tu política de privacidad, pero, es lo último que harás, y después el Registro de actividades del tratamiento, pero es importante que en el camino vayas recogiendo la información que utilizarás.

Algo que vas a necesitar para crear esto es definir quiénes son los involucrados, el responsable ya lo sabes, eres tú.

Los titulares, ya los hablaremos más adelante. Serán los datos personales que recojas.

Ahora vamos a hablar de los que van a trabajar a tu lado, elegir tus socios físicos o virtuales, ¿por qué? porque si ellos no tienen una correcta política de privacidad, ni manejan los datos correctamente, tú serás tan responsable como ellos por una fuga de datos que tengan. Pero, si tú has demostrado que en todo momento te aseguraste que era un buen socio para tu negocio, entonces no serás responsable junto con ellos.

Esto es como en un accidente: ¿ibas a la velocidad adecuada? ¿cumplías las señales de tránsito? Sí todo, pero es que la falla fue del coche, una imperfección de fábrica. Entonces la responsabilidad será solamente de la marca, aún cuando tú venías al volante.

Dicho en otras palabras, si vas a abrir un hospital, asegúrate de contratar reales médicos, a veces las decisiones más económicas son aquellas que nos darán mayores dolores de cabeza.

¿Y cómo saber si son buenos socios?

Esto no es un listado único, y exacto, depende de lo que vayas a elegir,

  • Están ubicados dentro de la Unión Europea
  • Si se encuentra en Estados Unidos, entonces que tengan el Privacy Shield

Privacy Shield es certificado que garantiza que las empresas que lo poseen cumplen con las normas europeas y suizas relacionadas con la protección de datos personales.

Puedes verificar si una empresa lo posee en este link https://www.privacyshield.gov/list.

Basta colocar el nombre de la empresa y ya sale su certificado, si es que lo tiene.

  • Si no se encuentran en Estados Unidos, verificar que te ofrezca unos niveles de seguridad adecuados.
  • Que no compartan los datos de tus clientes con otras personas. En este sentido no es que exista una prohibición expresa sobre esto, pero entonces si tu socio lo hace, debes informarlo. Seamos sinceros, si no te gustaría que compartan tus datos, ¿por qué permitirás hacerlo con los de tus clientes, usuarios, proveedores?
  • Que tengan una política de privacidad a la cual se pueda acceder y leer
  • Que tengan soporte técnico
  • Que deseen cumplir con el RGPD. Hay empresas que han declarado directamente esto no nos corresponde no lo haremos.

Antes de entrar en nervios, tampoco es que tienes que pedirles todos los certificados de seguridad, una foto de sus servidores, y que te firmen con sangre un acuerdo que tienen 5 pastores alemanes hambrientos a la puerta del servidor para que nadie pueda entrar a la sala. Deberás usar el sentido común, lo mismo que con un médico: no vas a revisarte el corazón en uno que tenga su chiringuito en una mesa de playa. Yo sé que esto suena muy ambiguo, pero así lo describe el RGPD, porque claro, no te puedo dar un detalle exacto de lo que se considera adecuado para todos los tipos de tratamientos que puedan existir a nivel mundial.

El cura de la parroquia con guardar la lista en un cajón con llave tiene, pero ya Google necesitará muchos más certificados y sistemas para guardar su información. De allí la imposibilidad de crear un listado único de requisitos.

Ve haciendo un listado de todos los lugares donde guardas los datos, una simple libreta puede ser un lugar recoges los datos personales de tus clientes, no por eso la diseñadora será la responsable de esos datos, nunca verá lo que tienes allí escrito.

También puedes tener aplicaciones que no guarden los datos que tú tengas, por ejemplo, yo utilizo un plugin llamado WP Forms, se instala en el servidor que utilizo, nunca WP Forms se entera que María o Juana han dejado sus datos allí. Pero sí lo hace Cdmon, que es el servidor. Entonces no me interesan los datos de WP Forms, porque no recoge datos, pero sí me interesa la información de Cdmon.

Generalmente, las recomendaciones sobre la evaluación de datos indican que debemos comenzar por los tipos de datos que recogemos y sus fuentes, pero estoy 100% segura que en estas semanas estas pensando si cambiarte o no de proveedor de email, así que ten en cuenta estos detalles a la hora de elegir.

Análisis de los datos a recoger

Ya tienes las nociones de lo que es el RGPD, y a quién se aplica. Ahora hay que evaluar los datos que recoges.

Fuentes:

¿Por donde te llegan esos datos? Recuerda que hablamos del mundo virtual y del físico.

Formularios de contacto de tu web

Hojas de una feria que fuiste

Trata de desgranarlos lo máximo posible, dividirlos mucho. Lo más seguro es que a medida que vayas avanzando, vuelvas al inicio para determinar nuevamente una nueva fuente.

Herramientas:

Estos datos los recoges desde un formulario, por ejemplo, pero ¿dónde quedan almacenados, o por dónde pasan?.

Puedes visualizar todo esto de forma más sencilla si haces un flujo de datos, es decir, dibuja por donde van caminando esos datos hasta que vuelvan a salir de tu control.

¿Para qué quieres esos datos?

Para enviar publicidad, para responderle a un cliente, para hacerle un presupuesto, para facturar, para poder diseñar sus logotipos, para saber más sobre su perro, lo que corresponda. El mismo dato puede servir para varias cosas. Un nombre puede ser utilizado para ofrecer un servicio contratado, tenerlo en la lista de email marketing, facturar. Cada una de estas situaciones es un tratamiento diferente para el mismo dato, y ya sabes que aquí lo importante es el tratamiento.

¿Qué pides?

Nombre, apellido, correo electrónico, teléfono, dirección postal, colores que le gustan, nombre del perro, talla, peso, datos de salud (ya hablaremos más adelante sobre los datos sensibles).

¿Hay algo que puedas eliminar de esta lista de datos?.

Hay un principio en el RGPD llamado minimización de los datos, en dónde solamente debes pedir aquello que sea realmente necesario para el tratamiento que harás.

Art. 5.1.b

¿Por cuánto tiempo guardas esta información?

Es hora de que vayas anotando todo, para eso te he dejado un cuadro de excel, donde podrás ir llenando toda esta información.

¿Es legal tener ese dato?

Ahora viene la parte más importante, ya sabes los datos que tienes pero, ¿realmente se justifica que los tengas? ¿hay alguna base legal que te autorice a tenerlos?

CONSEJO: SI NO TERMINASTE EL CUADRO DE EXCEL ANTERIOR, INDICANDO CUALES SON TUS FUENTES DE RECOGIDA DE DATOS, TE RECOMIENDO QUE NO AVANCES

Jo… Caribay, que pesadita con el cuadrito

Sí, lo sé, pero es que de verdad, si no sabes los datos que tienes, ni qué haces con ellos, mucho menos podrás ubicarlos dentro de una base legal apropiada, que justifique que los tengas. ¿Y cuál es esta base legal? El artículo 6 del RGPD, el cual, ENTRE OTROS, tiene el consentimiento, y lo coloco así en ultra mayúsculas, para que tú me ayudes a pregonar en el mundo que esta NO es la única justificación para tener los datos de alguien. Si te vendo un producto, necesito sí o sí tu dirección para enviártelo, tus datos para facturarte, y los tendré que guardar digamos por 2 años para la garantía, 5 para la facturación, etc., no tengo que pedirte para esto tu consentimiento, o me los das, o no puedo cumplir mi obligación como vendedora.

Entonces, ¿cuál es esta lista de bases legales? (me saltaré el primero a propósito, no es que la lista esté mal señalada, lo que está en cursiva es copiado textual de la ley, en cada caso hay un ejemplo, pero solo a manera de referencia, las posibilidades son infinitas)

Artículo 6. Licitud del tratamiento

  1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: Una sola, no tiene que ser todas al mismo tiempo, con que tengas la posibilidad de encuadrar tus filas del cuadro de excel (¿ves ahora su importancia?) en una de estas opciones, ya tienes una base legal para tratar estos datos.

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales: no le puedes enviar a tu cliente tus diseños, si él no te da sus datos, y tampoco puedes enviarle los presupuestos si no te los da. No tiene que haber un contrato literalmente hablando, o sea un papel escrito entre ambos, cuando vendes algo, y alguien te lo compra, ya tienes con esa persona un “contrato”, o cuando estás pidiendo más detalles sobre un determinado servicio o producto, es una diligencia precontractual.

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; contrataste a alguien, y necesitas sus datos para poder pagarle, redactar su contrato, necesitas ciertos datos de salud, medicina laboral, etc.

 d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; has anunciado a todos tus colaboradores que hay un nuevo integrante del equipo con una enfermedad que requiere atención urgente al momento de un ataque, y que la medicina se encuentra en un determinado lugar.

 e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; que la Oficina Española de Patentes y Marcas solicite tus datos para registrar la marca.

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.: Cuando te piden tu estado de cuenta, para saber si te aprueban o no un crédito, dependiendo de tu solvencia financiera.

Y cuando ninguna de las anteriores te ha funcionado, entonces es que puedes pedirle autorización a la persona para manejar sus datos según el literal a (el famoso consentimiento que todos pregonan, y que me hace llorar cada vez que es utilizado sin pensar primero en las demás posibilidades)

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; esto es como la publicidad que ya conoces: para todo lo demás, existe master card el consentimiento.

Así que, como puedes ver, NO necesitas el consentimiento para absolutamente todo. Al contrario, un mismo tratamiento se puede encuadrar en diferentes opciones. Fíjate en el registro de las actividades que la Agencia Española de Protección de Datos tiene (y que tú harás el tuyo la semana que viene)

Si quieres detallar varias bases legales, perfecto, pero con una sola es más que suficiente. Ahora entonces hay que ampliar el cuadro, agrega una última columna y ubica cada tratamiento con su correspondiente base. Te dejo aquí la imagen del mismo ejemplo que he colocado en el excel.

¿Qué hacer con los que no tienen base legal?

Despedirnos de ellos, eliminarlos. En el cuadro he mencionado que en el caso de los talleres presenciales no tengo ninguna base, imaginando que luego que los hago no les mando nada, no hago seguimiento a las actividades, en fin, que no hago nada con esos datos. Pero esto es solamente un ejemplo, realmente en mis talleres presenciales después envío algunos mensajes para ver cómo van avanzando, entonces este tratamiento es diferente, es parte del mismo servicio contratado. Con esto lo que quiero decir es que el mismo dato, la misma situación, no es igual para 2 personas, así que aquí un copia y pega de otros lados, no es válido. Exige un análisis muy personalizado.

¿Y cómo nos despedimos correctamente de ellos? avisamos que los vamos a eliminar porque no están siendo utilizados, o ha pasado el tiempo que dijimos que los íbamos a guardar. Este tiempo debe ser específico y tener una justificación válida, sentido común en pleno: no los puedes guardar para siempre solo porque sí. Puede que te lo mande la ley (el caso de las facturas, garantía de tus productos, por ejemplo), o que sea una fecha que tú decidas, pero en tal caso, debe estar especificado. Lo otro es, luego que hemos visto nuestra entrada de datos, preguntarnos: ¿realmente tengo que guardar esto?.

Supongamos que es una encuesta, en la que quieres saber si hay algo que desees mejorar, ¿es estrictamente necesario que te dejen su nombre? Puedes hacerla anónima, sin nada que identifique a nadie, y ya está. Te evitas un tratamiento. Menos trabajo para ti, más seguridad para tus usuarios o clientes.

 

Nuestro querido consentimiento

Tengo una relación de amor odio con este señor, este literal me crispa los pelos, como no tienes una idea, me deja calva…

Esta autorización no puede ser la llave que abre todas las puertas, y debe ser pedido con cariño, amor, y sobre todo, de forma muy directa y expresa, sin obligar a nadie, y es aquí en donde comenzaremos a ver todo lo que necesitas en tu sitio web, y cuando sí pedirlo y cuando no pedirlo.

Relax, que al final verás un detalle sobre lo que puede que tengas que hacer en cada formulario (recordemos que cada caso es diferente).

Ya en este punto debes saber aquellos datos que recoges, cual tratamiento haces, y los que no puedes encuadrar en ningún otro lado que no sea en el literal a del artículo 6. General, pero no exclusivamente, solemos necesitar esta autorización para enviar publicidad de nuestro negocio.

Con tanta información sobre RGPD seguro escuchaste que esto no es así, y que puedes meter este tratamiento en la caja de: bajo un interés legítimo que tienes de promocionar tu negocio, pero seamos sinceros, ¿esto realmente te suena a verdad? Si eres tú la que está recibiendo esta publicidad, ¿te gustaría que te dijeran esto como respuesta?

Bueno, una clave para entender el RGPD es mirarse al espejo y preguntar: ¿me gustaría que me hicieran esto?

Yo puedo adorarte como cliente, amarte como amiga, pero si tu negocio es una venta de queso, por favor no me mandes ni un solo correo, que no me gusta para nada. No eres tú, es lo que vendes que no me interesa en lo absoluto. Además, si no te quiero en mi buzón de entrada, obviamente no soy tu cliente ideal, no pierdas tu tiempo conmigo.

¿Cómo es el consentimiento?

Artículo 7

Condiciones para el consentimiento

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

La famosa prueba. ¿Cómo puede ser esta prueba? casillas de verificación, correo de confirmación, mensaje en el formulario de suscripción, las posibilidades son tantas como tu creatividad quiera, pero no voy a complicarte con ejemplos porque siento que más que ayudar, voy a agobiar, y ya el tema te trae con los pelos de punta.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

En palabras sencillas: si estoy en tu tienda online haciendo una compra, y quieres mis datos para otro tratamiento (agregarme a la newsletter), esto me lo debes pedir de manera separada, porque son tratamientos diferentes, y se debe poder distinguir que una cosa es la compra, otra cosa es la newsletter.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

El típico darse de baja de las listas de newsletter, que lo debes avisar antes que se suscriban. Si para otro tratamiento utilizaste el consentimiento, lo mismo, la persona puede dejar de querer que tengas ese dato y retirarte la autorización cuando guste.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

Y aquí, en este lindo literal, es donde entra aquello de «el lead magnet obliga a que se suscriban y por lo tanto no lo puedes dar», y como en un juego de fútbol, para unos es falta, para otros no.

A mis ojos la verdad que nada tiene que ver, peeeeeeero, como no son mis ojos los que van a inspeccionar tu negocio porque no trabajo en la Agencia Española de Protección de Datos, lo mejor es pensar apocalípticamente y cambiar esto, ¿cómo? asegura que las personas pueden recibir el gancho, descargable, ebook, lo que sea que tengas, antes de confirmar que se quieren unir a la lista, en el email de confirmación por ejemplo. Yaaaaaa lo se, me vas a decir que esto se carga tu lista, que las personas no se quedarán en fin, recuerda: quien no quiera quedarse, no es realmente alguien que valga la pena para tu negocio, no le des dinero a tu gestor de email marketing para pagar por alguien así.

La secuencia sería:

Formulario de suscripción ofreciendo el regalo y aclarando que puede elegir si entrar o no a tu lista → email de confirmación con un primer link al lead magnet → botón o enlace de confirmación para pertenecer a la lista.

Truco. En el lead magnet agrega algo como: si quieres recibir contenido como este, deberías suscribirte a mi newsletter. Y siempre con atención al deber de información.

¿Al deber de qué? De información

Tienes que decirle a los titulares de los datos que vas a hacer con su información, dónde la vas a guardar, etc. para esto es la política de privacidad, que ya la semana que vienes vamos a redactar, esta lo que haremos es recoger toda la información para escribirla.

Este deber de información tiene una plantilla predeterminada, en donde debes escribir:

  • Responsable: tú
  • Finalidad: que harás con estos datos, cuál es el tratamiento
  • Legitimación: cual literal del artículo 6
  • Destinatarios: quién, además de ti, los va a manejar
  • Derechos: Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional. (Esto lo dejamos así por ahora)
  • Información adicional: el enlace a la política de privacidad

Como puedes ver, el cuadrito de excel deberás vaciarlo aquí, si adelantas ese paso, todo lo que viene será mucho más sencillo.

Y esta biblia dónde se coloca:

  • En tus formularios de suscripción
  • En tus formularios de contacto
  • En los comentarios del blog
  • En las hojas que llevas a las ferias para que llenen los datos y los contactes luego
  • En los emails que envías
  • En la newsletter en el footer
  • En las encuestas que hagas
  • En los formularios
  • En todos lados donde recojas datos personales

¿Debe tener una forma específica?

No, mientras quede clara la idea, no tienes que hacerlo tan formal, . Y hay muchos otros ejemplos para estos formularios.

 

Este es el ejemplo que da la AGPD en su guía del deber de la información.

 

¿Cómo hacer que sea voluntario, el checkbox, el mono aaaiiiiixxxxx?

Te dejo aquí varios tutoriales que he encontrado, como todo, depende de tus herramientas. Lo iré ampliando a medida que vaya encontrando varios interesantes, si tienes alguno, por favor compártelo con nosotros.

 

 

Una de las trillizas más digitales que hay nos ha regalado su talento para dominar al mono, tiene una escuela llamada Dale al Mono en donde te enseña a utilizar esta herramienta al derecho y al revés, y créeme cuando te digo que súper vale la pena.

Elsa López nos deja aquí unos videos para que podamos eliminar de Mailchimp los fantasmas, aprovéchalo para volver a pedir el consentimiento a tus suscriptores, o que aún cuando lo tenías, no has cumplido el deber de información como es debido, ¡hora de limpiar!

Ahora sí, puedes ir redactando esos correos, ¿cómo? tienes varias maneras:

  1. Segmentando tu lista maestra, haciendo que todos los suscriptores vayan a un grupo determinado, enviando una campaña informativa preguntando si quieren seguir en la NL, con su capa de información, con un botón que indique el sí a la segmentación y uno que se de baja de una vez. La prueba aquí: la campaña que enviaste con toda la información necesaria. Quien no esté dentro de este segmento, se elimina.
  2. Creando una lista maestra (si como yo aún no la tienes), y empezar desde cero patatero, todo el que entre pasa por un formulario nuevo.
  3. Exportando todos los datos, enviando un email desde tu correo, y haciendo que se apunten de nuevo bajo un formulario.

Vamos a redactar los textos de tu web para el RGPD

Formulario de contacto

TU NOMBRE es la responsable de tus datos, que serán gestionados también por SERVIDOR/SERVIDOR DE TU EMAIL, quien me ayuda a enviarte a tu buzón la respuesta a tu consulta. Podrás ejercer los derechos que tengas escribiendo a xxxx@xxxxx.com y tendré tus datos solamente por 6 meses, o mientras nuestra relación contractual permanezca activa.

Comentarios en el blog

La responsable de tus datos será TU NOMBRE, y serán enviados a TU SERVIDOR O LO QUE USES PARA LOS COMENTARIOS para poder responder tu comentario. Deberás entender que esta información es pública, y los datos que coloques en este formulario los leerá cualquier visitante de este sitio web. Conservaré esta información por el tiempo que dure esta entrada del blog o que tú decidas eliminar el comentario. Puedes ejercer tus derechos de acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la política de privacidad. (Enlace a política de privacidad).

Formulario de suscripción

La responsable de tus datos será TU NOMBRE, y serán enviados TU GESTOR DE EMAIL MARKETING, quienes me aseguran cuidar tus datos personales, no cederlos a nadie, y respetar todos tus derechos, tienen sus servidores en Estados Unidos (en caso de tenerlos fuera de la EE.EE). Podrás darte de baja en cualquier momento y ejercer tus derechos de acceso, rectificación, oposición, portabilidad, olvido, cancelación o cualquier otro que poseas según se describe en la política de privacidad. (Enlace a política de privacidad).

Para el pedido

La responsable de tus datos será TU NOMBRE, y serán enviados a SERVIDOR/EMAIL/CORREOS para poder procesar tu pedido, así como al sistema del medio de pago que hayas utilizado. Conservaré esta información por el tiempo establecido en la ley, como comprobante de compra. Puedes ejercer tus derechos de acceder, rectificar así como otros derechos, como se explica en la política de privacidad. (Enlace a política de privacidad).

Esto lo puedes enviar en el email de compra, o dejarlo en el formulario de compra.

Otros formularios

Dependiendo de la finalidad del tratamiento, ya con los ejemplos anteriores, sabes lo que debes colocar aquí. Por ejemplo el formulario que llenaste al inicio de este curso, explicando para qué lo hacías, a partir del 25 de mayo deberá indicar además que se queda en mi formulario. Esto siempre y cuando guardes datos personales, el que tienes por ejemplo al final de esta página, no guarda ningún dato personal, así que no necesita este deber de información. Ya por pereza, ves lo maravilloso que es hacer las encuestas de forma anónima.

Valoraciones

La responsable de tus datos será TU NOMBRE, y serán enviados a SERVIDOR para poder publicar tu valoración. Deberás entender que esta información es pública, y los datos que coloques en esta sección los leerá cualquier visitante de este sitio web. Conservaré esta información por el tiempo que este producto esté en venta o que tú decidas eliminar la valoración. Puedes ejercer tus derechos de acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la política de privacidad. (Enlace a política de privacidad).

Vamos a crear la política de privacidad

Llegar aquí, sin tener los pasos anteriores listos, no tiene sentido. Yo sé que piensas que hacerlo de manera forzosa así te dejaría más calva, pero es que lo de arriba son los ingredientes para la torta que vamos a hacer esta semana: la política de privacidad y el registro de las actividades del tratamiento.

Básicamente iremos respondiendo unas preguntas, así que te dejo aquí el modelo. He tratado de agrupar en una sola la mayoría delas situaciones, deberán adaptarlo claro está a sus negocios.

En la sección de encargados del tratamiento, deberán indicar aquellas empresas o personas que tengan los datos personales de sus clientes, usuarios, suscriptores, bajo las órdenes que Uds. les den, por ejemplo, el gestor de email marketing, el servidor, un CRM, etc. Les he colocado dos ejemplos.

POLITICA DE PRIVACIDAD

 

Responsable de los datos personales: TU NOMBRE  (en lo adelante “la responsable”), número de NIF XXXXXX, con domicilio en XXXXX, CODIGO POSTAL-CIUDAD, y cuyo correo electrónico de contacto es xxxx@xxxxxxxx.com

Datos solicitados en el sitio web y finalidad del tratamiento.

  • Nombre, apellidos y correo electrónico en los formularios de contacto: para realizar cualquier contacto directo con la responsable, ya sea para plantear dudas, comentarios, sugerencias, solicitar un servicio o producto o cualquier otra información. No suministrar los datos personales mínimos necesarios imposibilitará a la responsable de responder a la petición.
  • Nombre y correo electrónico: para poder realizar comentarios en el blog del sitio web.
  • Nombre, apellidos, dirección, teléfono, correo electrónico, número de identificación fiscal: se solicitará esta información al momento de la compra, para poder procesar el pedido.
  • Nombre y correo electrónico para newsletter: con el debido consentimiento expreso y voluntario del titular de los datos, se solicitará en el sitio web la información mínima necesaria para enviar un boletín comercial automatizado, donde se informará sobre publicidad, promociones y otra información de los servicios y/o productos ofrecidos por la responsable.
  • Correo electrónico: se solicitará el correo electrónico para poder acceder al área de cliente, de acuerdo a los datos suministrados al momento de crear la cuenta. 
  • Nombre, teléfono, correo electrónico, número de personas, fecha de evento, dirección: Se solicitará esta información para poder elaborar un presupuesto de los servicios que la responsable puede ofrecer al participante. Sin estos datos, no se podrá realizar un análisis del monto que el posible participante deberá pagar por los servicios ofrecidos en el sitio web.

Si el usuario tiene menos de 16 años, ya cumplidos, deberá tener la autorización de sus padres o tutores legales para entregar sus datos personales. La responsable no tiene manera de comprobar efectivamente la edad de los usuarios, por lo que queda eximida de cualquier responsabilidad, si el usuario no cumple con lo aquí indicado.

La responsable en todo momento velará que el uso que se le da al sitio web, a los contenidos, y al tratamiento de los datos personales del usuario, se realicen de la forma más correcta. Para ello, el usuario siempre podrá ejercer sus derechos de acceso, rectificación, cancelación, portabilidad, olvido u oposición, todo ello en fiel cumplimiento de las directrices de las leyes españolas y europeas, escribiendo al correo electrónico xxxxxx@xxxxxxxxx.com.

En ningún momento la responsable compartirá con terceros los datos que posee. En caso de hacerlo para poder cumplir con el envío de los productos que haya adquirido el comprador, ofrecer los servicios contratados por algún participante, enviar la newsletter, cumplir con exigencias legales o para la administración del sitio web, se proporcionarán los debidos acuerdos de confidencialidad entre las partes.

Los enlaces a terceros que se puedan encontrar en el sitio web poseen políticas de privacidad ajenas a la responsable. El acceso a estos sitios deberá ser responsabilidad del usuario, siendo su responsabilidad conocerlas y su decisión aceptarlas o no.

FORMULARIOS 

El sitio web dispone de 4 tipos de formularios:

            De contacto: el usuario, comprador o participante podrá encontrar formularios que facilitarán la comunicación con la responsable, para plantear dudas, comentarios, solicitar un presupuesto, reservar alguno de los servicios ofrecidos en el sitio web o exigir algún derecho que tenga. No suministrar los datos personales mínimos necesarios imposibilitará a la responsable de responder a la petición. Este tratamiento se considerará legítimo por ser parte de una diligencia pre-contractual. El servidor del sitio web y del correo electrónico de la responsable serán los encargados del tratamiento.

            De publicidad: se solicitará a los usuarios, compradores o participantes su consentimiento expreso y voluntario para entregar a la responsable, los mínimos datos necesarios para enviar publicidad e información comercial relacionada con los servicios y/o productos ofrecidos por la responsable, para que se agregue a un fichero automatizado de email marketing gestionado por el encargado del tratamiento que se indica más abajo. El tratamiento de los datos personales que se encuentren en esta sección, se ha hecho con el consentimiento del titular de los datos.

            Para comentarios en el blog: en aras de evitar el spam, mensajes inadecuados, y hacer un correcto seguimiento, se solicitará al usuario su nombre, email y sitio web para identificarlo en los comentarios que desee realizar en las entradas del blog. Estos datos serán visibles para otros usuarios del sitio web. Si no desea que los datos sean visibles por otras personas, deberá comunicarse con la responsable al correo electrónico cccccc@cccccc.com. El servidor del sitio web será el encargado del tratamiento y que se realizará con el consentimiento del titular de los datos.

            Para procesar el pedido: se solicitará a los usuarios, compradores o participantes sus datos para que la responsable pueda procesar los pedidos de acuerdo a las compras que hayan realizado. Tratamiento legítimo de datos personales por la relación contractual que existe con el comprador o participante. Los datos serán guardados en el servidor del sitio web.

ENCARGADOS DEL TRATAMIENTO

La responsable necesita el apoyo de terceros para poder ofrecer adecuadamente sus servicios y productos, con los cuales ha celebrado los debidos acuerdos de confidencialidad y ha verificado que cumplen con las normativas españolas sobre protección de datos personales.

Los datos suministrados a estos terceros no podrán ser utilizados para otros dines no autorizados por el titular de los datos.

En cumplimiento de los principios de información y transparencia, se hace saber que estos terceros son:

  • 1&1 Internet España, S.L.U.: empresa proveedora del hospedaje o alojamiento web (hosting), se encuentra inscrita en el Registro Mercantil de Madrid, España, Tomo 24.232, Libro 0, Folio 73, Sección 8, Hoja M-435500, Inscripción 1, identificada con el NIF B-85049435. En caso que desees más información sobre su política de privacidad ingresa a https://www.1and1.es/terms-gtc/terms-privacy/? diseño y programación del sitio web, ubicada en Carrer de Rosés, 67 – 69 Entlo. 3, 08028 Barcelona
  • Mailchimp: utilizada para automatizar los boletines de información comercial y enviar al correo electrónico del titular de los datos, publicidad de los productos y/o servicios ofrecidos en el sitio web. Servicio a cargo de la empresa The Rocket Science Group LLC, ubicada en Estados Unidos de América. Posee un convenio de seguridad denominado Escudo de Privacidad, conforme a las exigencias del Comité Europeo de Protección de Datos que puede consultarse aquí https://www.privacyshield.gov/participant?id=a2zt0000000TO6hAAG&status=Active. Para más información sobre su política de privacidad puede ingresar a https://mailchimp.com/legal/privacy/

POLÍTICAS RELACIONADAS CON LA NEWSLETTER

Estas políticas se entenderán en todo momento como parte complementaria de los términos y condiciones expuestos en el sitio web, siendo ambos de igual aplicación al momento de una controversia. La política de privacidad y de propiedad intelectual aplicada será la misma que se expone en los términos y condiciones del sitio web.

Se entenderá como “newsletter” al boletín digital que la responsable realiza de forma periódica y que hace llegar a sus suscriptores a través de un proveedor de servicios de correo electrónico externo, al cual el usuario se ha suscrito de manera voluntaria.

La responsable no está en la obligación de enviar en períodos de tiempo definidos la newsletter, por lo que es totalmente libre de hacerlo cuando lo estime conveniente. El usuario podrá en todo momento ejercer sus derechos de acceso, rectificación, cancelación u oposición siguiendo las instrucciones que encontrará en el pie de página de la newsletter.

El usuario no deberá compartir su contenido con terceros, ya que esto violaría los derechos de autor de la responsable. El único canal de distribución posible es el administrado y/o autorizado por la responsable.

La responsable no se hará responsable por el contenido de terceros expuesto en la newsletter, cualquier controversia que surja deberá ser tratada directamente con la persona o empresa de la cual se hace mención.

Todo el material que se expone en la newsletter está protegido por derechos de autor a favor de la responsable, y en el caso de pertenecer a terceros, se entenderá que la responsable tiene la debida autorización para utilizarlo como se haya convenido con el autor.

DURACIÓN DEL TRATAMIENTO

En el caso de los datos personales suministrados para facturación y compra de productos o servicios, serán guardados por el tiempo legalmente aplicable.

En el caso de los datos personales suministrados para boletines comerciales electrónicos y comentarios en el blog, será por el tiempo que el titular de los datos desee permanecer en la lista de suscripción, por lo que podrá darse de baja en el momento que así lo desee, de forma automática como se indica en cada boletín, o escribiendo a xxxx@xxxxxxx.com

 

 

Registro de las actividades del tratamiento

El registro de actividades es una exigencia del RGPD para aquellas organizaciones que hacen un tratamiento ocasional de los datos personales. Puede vaciarse esta información en un cuadro de Excel en donde se reflejará cual es la ruta de los datos personales, desde su recogida hasta su tratamiento final. No tendrás que indicar el nombre ni ningún dato que mantengas en tus ficheros. Solamente debes mencionar cuáles tipos de datos se recogen.

Si tienes un fichero inscrito en la Agencia Española de Protección de Datos, puedes solicitar una copia de su contenido, deberás enviarlo firmado a la Agencia Española de Protección de Datos en C/Jorge Juan nº6, 28001 Madrid, y ellos te enviarán una copia del fichero que inscribiste. Lo ideal es que tengas un registro bien implementado, pero esto, todavía tiene una zona gris, sin una ley interna española todavía no hay claridad porque el artículo señala que:

Las obligaciones indicadas en los apartados 1 y 2 (que te dice que debes tener un registro) no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Como esto es tan amplio, yo considero que en un primer momento con esa copia del fichero de la AEPD podrías estar cubierta. Sin embargo, a medida que esto se vaya aclarando en tribunales y demás instituciones, te lo iré diciendo. Mi consejo es tenerlo y hacerlo, pero esto también depende del bolsillo, tiempo, y gestión de cada quien.

Para poderlo hacer, deberás responder lo que el RGPD te solicita en el artículo 30.1:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

El delegado de protección de datos es una persona que explicará al responsable y al encargado de la protección de los datos cómo cuidar los que has recogido, y tiene una funciones muy específicas, como de chivarse a la AEPD la fuga de datos que tengas.

Están obligados a nombrar un Delegado de Protección de Datos:

  • Las Administraciones Públicas (autoridades y organismos, excepto Tribunales)
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas (artículo 9) y de datos relativos a condenas e infracciones penales (artículo 10).

Como no considero que sea el caso de las que están en este curso, mejor sigamos adelante con el otro requisito solicitado para el registro de actividades del tratamiento.

b) los fines del tratamiento;

Para qué vas a utilizar estos datos: gestión de empleados, publicidad, facturación, listado de proveedores, etc.

c) una descripción de las categorías de interesados y de las categorías de datos personales;

Quienes son las personas a las cuales iría dirigido tu tratamiento: clientes, posibles clientes, candidatos a un cargo, empleados, etc.

Las categorías de datos personales, vienen a ser aquellos datos que recoges, nombre, apellido, ¿Qué es lo que vas a pedir?. Recuerda que no colocas el dato en sí (María, Juana), sino lo que pides: nombre

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

A qué tipo de personas les vas a enviar estos datos, tu servidor, gestor, email marketing, etc.

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

Si se va a enviar a otro país (como en el caso de Estados Unidos y Mailchimp), a cuál sería.

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

No siempre será sencillo indicar estos plazos, pero por ejemplo en el caso de la newsletter, que es un consentimiento, puedes indicar 6 meses y solicitar la actualización de los datos, o 1 año. En el caso de servicios identifica que será mientras dure la relación contractual, la información en los libros contables será de 6 años, y así va dependiendo de cada tratamiento.

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

¿Utilizas un antivirus para proteger esos datos? o una contraseña fuerte, autenticación en dos factores, indica lo que has hecho para que estos datos estén protegidos.

 

Todo esto lo puedes colocar en el formato que prefieras, puedes guiarte del propio que tiene la AEPD o puedes descargar el que te dejo aquí abajo.

Aviso legal - Política de Privacidad - Términos y condiciones - Política de cookies
Diseñado por Caribay Camacho. Todos los derechos reservados © 2017