Noticias y Novedades

5 EXIGENCIAS BÁSICA DEL NUEVO REGLAMENTO EU PARA TU BLOG

O cómo sobrevivir al nuevo reglamento UE si tienes una web o blog

El nuevo reglamento en materia de protección de datos supone un punto de inflexión para todos los que tenemos un blog o una web. No ha sido fácil conseguir un título que te invitara a leerlo, porque créeme: necesitas leerlo.

Mira si era complicado que tuve que pedir auxilio a dos almas generosas y talentosas, Ana Mata y Gastre gracias a los cuales  tengo dos titulares irresistibles que estoy segura, te vas a lanzar a leer.

Si tienes una web o un blog, es muy posible que todavía no te hayas enterado de tu presencia digital está regulada por las algunas leyes de obligado cumplimiento, como son la LOPD y la LSSI, si te acabas de caer de la parra, antes de leer este post, es mejor que empieces por saber cuáles son los requisitos legales para una web o un blog.

El caso es que  el 14 de abril del 2016,  se aprobó el nuevo reglamento de protección de datos Europeo que te va afectar de lleno y por eso quiero que conozcas las principales exigencias y cómo puede salvarlas en tu blog o web para que no te pille el toro.

¿Porqué deberías ocuparte?

Hay una razón muy sencilla: Quedarte al margen es un suicidio digital.

Sé que suena muy fuerte pero el anarquismo bloggero tiene sus días contados.  Este reglamento nace con el objetivo de fortalecer la economía digital y para ello, se debe acabar con cualquier portal que no ofrezca garantías suficientes.

Este nuevo reglamento refuerza los derechos de las personas que se relacionan con tu web o blog y las obligaciones de quienes tratan y determinen el tratamiento de los datos personales.

Ya no tienes excusas para quedarte al margen de la legalidad,  hacerlo, será como tirar bombas racimo sobre tu propia web.

La finalidad de un nuevo reglamento de la UE

Este reglamento surge con la intención de unificar los criterios en torno a la protección de datos de todos los países que componen la Unión Europea. Hasta ahora, cada uno tenía su propia regulación, como la LOPD en el caso de España. La entrada en vigor del nuevo reglamento nos va a obligar a reajustarnos en algunos puntos básicos que ahora te explicar.e.

Cómo te explicaba al inicio de este post, con este Reglamento se pretende otorgar mas poder y control  a los usuarios sobre sus propios datos personales de  forma que puedan decidir en todo momento  qué información quieren compartir , con quien y con qué finalidad.

Otro objetivo básico es el generar entornos de confianza que permita a la economía digital desarrollarse en todo el mercado interior europeo, algo de lo que he hablado hasta la saciedad: los elementos legales son los que permiten diferenciar un espacio seguro de un top manta digital. Un motivo de peso para no quedarte al margen.

En resumen:se trata de empoderar a los ciudadanos para a que asuman mayor control sobre la información personal que les concierne y eso va a repercutir necesariamente en todos los que captamos, gestionamos y almacenamos datos personales de otros.

Estos “nuevos poderes” que le otorga el reglamento de la UE a los ciudadanos  se traducen en 5 derechos básicos que tu deberás garantizar:blog2

  1. La necesidad de un consentimiento específico de la persona respecto del tratamiento de sus datos personales.
  2. El derecho a la información completa sobre el uso de su propia información personal
  3. Acceso más fácil del interesado a sus datos personales.
  4. El derecho al olvido y al de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles.
  5. El derecho a la portabilidad de los datos de un prestador de servicios a otro.

5  exigencias que tendrás que conocer y aplicar en tu blog o web

El nuevo reglamento de la UE será de aplicación a todos los estados miembros de la UE y surge con el objetivo de armonizar todas las regulaciones en materia de protección de datos de los estados miembros.

Ha entrado en vigor el 25 de mayo de 2016 y será de obligado cumplimiento en un par de años, así que es mejor que te vayas familiarizando y aplicando las nuevas exigencias en tu estrategia.

#1: Responsabilidad proactiva

El nuevo reglamento EU hace especial hincapié en la prevención en detrimento de la respuesta reactiva, te pide que te ocupes de tomar la iniciativa en la defensa de la privacidad en lugar de reaccionar cuando ya se ha producido una brecha.

Por tanto, deberás  adoptar medidas para demostrar que estás cumpliendo con el Reglamento, tendrás que demostrar la carga de la prueba. Esto da lugar a un capítulo entero de medidas y obligaciones prácticas, que será la parte que más contribuya a proteger los datos.

¿Qué tendrás que hacer concretamente?

  • Tener actualizas tus  políticas de privacidad, procedimientos y documentación en orden : las autoridades de protección de datos podrán requerirlas en cualquier momento.
  • Tendrás que informar a los interesados de su tratamiento de sus datos de manera clara y transparente. Para eso deberás revisar y actualizar todas tus cláusulas informativas. Debes informar: Qué datos recoges, cómo van a ser tratados, para qué fines, si son cedidos a terceros, etc. Esto elimina el copia y pega de textos legales ya que se exige mucha más precisión.
  • Tus mecanismos informativos deben ser “transparentes y de fácil acceso” (nada de textos diminutos y políticas ocultas)
  • Tendrás que asegurarte que los datos personales  que requieres son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Deberás poner  en marcha un proceso de notificación de incumplimiento y mejorar tus procesos de gestión de incidencias y tus capacidades de detección y respuesta. Cualquier violación de los datos deberá ser notificada a la autoridad correspondiente de protección de datos, incluso si las medidas de protección, como el cifrado, están en su lugar; o la probabilidad de daño es bajo.

#2 Consentimiento explícito si quieres que sea válido

Aquí es donde tendrás que ponerte las pilas porque será la forma más sencilla de exponerte a una sanción como no lo hagas bien. También es la mejor manera de acreditar cumplimiento si lo haces correctamente.

Ten en cuenta que el consentimiento en cualquier estrategia online, es la forma más robusta de legitimación de la voluntad del usuario.

Actualmente son legales los consentimientos tácitos para datos básicos; como poner un pequeño texto debajo de los formularios de contacto o suscripción que pongan “acepto la política de privacidad” o darlo por supuesto por el solo hecho de suscribirse voluntariamente.

Con el nuevo reglamento la cosa cambia y mucho.

A partir de ahora,  el consentimiento no podrá entenderse como concedido implícitamente, así que es mejor que te pongas a revisar todos tus formularios de contacto y saber si cumplen con estas condiciones:

  1.   No puede  deducirse del silencio o de la inacción de las personas.
  2.   No puede ser genérico:  es preciso que la declaración u acción se refieran explícitamente al consentimiento y a una finalidad concreta.
  3.   Debe ser verificable: deberás  ser capaz  de acreditar el consentimiento y por esta razón es imprescindible que los mecanismos informativos y de requerimiento sean adecuados.
  4.   Caducidad: El consentimiento expirará tan pronto como el tratamiento de los datos personales deje de ser necesario para alcanzar el fin para el que fueron recogidos.

Aquí cobra especial relevancia el  principio de transparencia, ya que se refuerza drásticamente  la información que se debe facilitar a los titulares de los datos, tanto en el supuesto de que los datos se recaben directamente del interesado como si los datos se obtienen de otra fuente.

En este punto es donde debes realizar los mayores esfuerzos, adecuando tus cláusulas de información en todos los elementos de captura que utilices, informando especialmente en materia de conservación de datos y transferencias internacionales, debiendo ser muy cuidadoso en la forma de facilitar la información de manera que siempre puedas  acreditar con posterioridad que la misma ha sido facilitada.

¿Cómo puedes solucionarlo?

  1. Deberás  revisar si los formularios de tu web o blog permiten obtener el  de consentimiento de forma adecuada comprobando que este consentimiento sea libre, específico, informado y expreso.
  2. Deberás reforzar todas tus cláusulas informativas.
  3. Deberás asegurarte que tu procedimiento de requerimiento de consentimiento permita que  puedas acreditarlo debidamente con posterioridad. 
  4. Deberás comprobar que ese consentimiento sigue vigente y que sigues utilizando los datos con la misma finalidad con la que fue obtenida.
  5. Si utilizas datos personales para marketing directo, será necesario ofrecer una forma clara y sencilla  para que el usuario pueda  oponerse a su tratamiento. y si realizas elaboración de perfiles, es mejor que te asegures de requerir un consentimiento específico para esta finalidad concreta como o explico en este post.

#3 Prepararte para garantizar los nuevos derechos

Deberás saber cómo responder adecuadamente  a los nuevos derechos de todas las personas que se relacionan con tu web, para ello, deberás contar con una estrategia que incluya  procedimientos para :

  • La recogida de datos personales.
  • La clasificación  o segmentación de datos.
  • La elaboración de perfiles (y el necesario consentimiento)
  • La destrucción y el derecho al olvido.
  • La portabilidad ( se trata de facilitar el traspaso de datos de una empresa a otra sin tener que facilitarlos nuevamente)
  • La minimización de los datos (requerir solo datos estrictamente necesarios para la finalidad)

Hoy solo te los nombro a titulo informativo, ya los desarrollaré oportunamente.

Esta estrategia  debe cubrir todos los mecanismos por los que se recogen los datos, incluyendo internet  y papel.

Por otra parte, se suprime la obligación de notificar ficheros en la Agencia Española de Protección de datos, algo en lo que no estoy muy de acuerdo, aunque se justifique argumentando que se pretende suprimir la carga burocrática.

#4.Indemnizaciones y sanciones

Cuidadín cuidadín con este punto.

El Reglamento reconoce el derecho de los interesados a presentar una reclamación a la autoridad de control, así como su derecho al recurso judicial, la compensación y la responsabilidad.

Básicamente, el nuevo reglamento prevé  el derecho a  indemnización y responsabilidad de cualquier responsable que haya participado en la acción que haya causado el daño a la intimidad de un ciudadano, algo que no estaba contemplado en la actual LOPD y que puede suponerte muchos dolores de cabeza si alguien te requiere una compensación económica.

También se contemplan  sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos. Los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual.

Las autoridades de protección de datos nacionales serán las que impongan estas sanciones administrativas.

#5 Acuerdos con terceros

Si gestionas datos personales por encargo de otras empresas o profesionales, debes asumir que tus servicios son compatibles con las mayores exigencias de esta regulación, ya sea en relación con la minimización de los datos, lo que ayuda a cumplir con el derecho a ser olvidado o reportar una violación de la seguridad de datos.

Recuerda que dentro de la responsabilidad proactiva debes demostrar que todas las empresas o profesionales con quienes compartes datos cumplen con las mismas exigencias y pautas de tratamiento de la información personal.

¿Como puedes solucionarlo?

Yo te recomiendo  que revises si dispones de contratos adecuados con terceros, tanto si actúas como responsable o encargado de tratamiento.Esos contratos  deben incluir un clausurado acorde a las exigencias del nuevo reglamento y serán tu mejor salvaguarda a la hora de acreditar diligencia.

Conclusión: el fin de la era del top manta

Hasta ahora, los profesionales del mundo digital en general  han actuado con bastante desidia respecto a su responsabilidad con la información personal de otros que pasan por sus manos .

Es posible que a ti también te hayan inoculado la creencia de la anarquía bloggera, en donde no existen derechos ni obligaciones.

Mi convicción es que quienes sigan anclados en esa creencia tienen los días contados.

Evolucionar en la gestión de un blog o una web es es evolucionar en las garantías que somos capaces de ofrecer a todos los que nos facilitan sus datos (usuarios, suscriptores, clientes, colaboradores, etc)

El nuevo reglamento Europeo te plantea el “reto al respeto” :

  1. ¿Respetas los datos personales de otros?
  2. ¿Eres leal, transparente y honesto al requerirlos?
  3. ¿Los proteges adecuadamente?

Cómo profesional digital, no puedes quedarte al margen de este reto, nuestro futuro depende de la gestión de la confianza y sin respeto, no hay confianza.

¿Estás preparado para el reto al respeto?

Fuente: Marina Brocca