Advertencia: antes que nada, ten en cuenta que yo no soy abogado ni especialista en derecho digital, así lo que aquí te cuento puede contener error, imprecisiones o incluso estar completamente equivocado; lo único que te puedo garantizar es que he prestado bastante atención a este tema y creo que no me equivoco en lo esencial (se agradecerán enmiendas y correcciones, en los comentarios).
Dicho esto, sí, seguro que te han llegado noticias del EVENTO y te preguntas qué hacer.
Empezando por el principio, no es que hoy entre en vigor el RGPD (en inglés GDPR), sino que acaba el plazo de dos años que el 25 de mayo de 2016 dio Europa para que todos los estados miembros traspusieran la normativa a sus legislaciones nacionales y la hicieran cumplir… pero no desesperes, hoy en concreto no te va a caer la famosa multa de 20 millones de euros; es viernes y seguro que lo dejan para el lunes 😉
¿Cuál es el espíritu del RGPD / GDPR?
El objeto es unificar las legislaciones europeas para que haya un criterio común en un reglamento que lo que pretende es proteger a los ciudadanos de los abusos de las grandes empresas, que toman nuestros datos de donde quieren, los compran, venden, regalan, ponen de oferta y luego los usan para masacrarnos a spam, entre otras cosillas.
Naturalmente, por ser pequeño no vas a escapar de tener que cumplirlo, así que vamos a ello.
En general, no me parece que el RGPD sea mucho más estricto que la LOPD que ya tenías que estar cumpliendo hace años, así que es cuestión de ajustar detalles… muchos de los cuales escapan al alcance de este artículo y de los que hay abundante documentación tanto en la AEPD como en otras webs de servicios especializados en temas legales digitales.
Pasando a lo práctico, ¿cómo cumplir el RGPD en tu web?
Yo me enfocaría en cuatro temas principales:
1.- El texto legal explicando nuestra política de privacidad
Dando por supuesto que cumplías con la LOPD, en la web ya tienes un texto explicando claramente quién es el responsable del fichero de datos, cuál es la finalidad de los mismos, a quién le cedes esos datos y porqué (si es que lo haces) y finalmente cómo puede un usuario ejercer sus famosos derechos ARCO (acceso, rectificación, cancelación y oposición) con respecto a ellos.
La sutil diferencia es que ahora se te anima (y obliga) a que el texto legal sea claro y comprensible por humanos que no se hayan doctorado en Derecho. Es decir, nada de «la parte contratante de la primera parte será considerada como la parte contratante de la primera parte…» 😛
Hay una herramienta gratuita en la AEPD que se llama FACILITA y que te puede ayudar en este tema (bueno, en todo el tema RGPD)
2.- Los formularios de contacto
Existe la creencia de que hay que poner poner una casilla de «Acepto la política de datos» en todos los formularios donde recojamos datos personales, pero esto no es cierto.
Lo que hay que hacer es explicar claramente para qué solicitas esos datos y, en caso de que vayas a hacer con ellos algo adicional (como suscribirlo a tu boletín de novedades), poner casillas que permitan aceptar (o no) ese uso adicional.
Como caso concreto, nosotros tenemos un formulario de contacto a través del que nos puedes pedir presupuesto o hacer consulta sobre nuestros servicios y productos.
Cuando alguien nos envía un correo con sus datos de contacto, usamos esa información única y exclusivamente para esa tarea, cosa de la que informamos claramente en el mismo, y no hacemos nada más con ellos, es decir, no le damos de alta en nuestra newsletter ni los añadimos a una base de datos de potenciales clientes para mandarle ofertas, promociones, información… nada de nada!
Una vez pasa el periodo de vigencia del presupuesto o cuando se cierra la consulta, borramos sus datos y se acabó (bueno técnicamente hay que mantenerlos archivados durante X y bla bla bla, pero el caso es que los sacamos de la base de datos de uso diario).
Si quisiéramos provechar esos datos recogidos para hacer email marketing, por ejemplo, tendríamos que añadir una casilla al formulario con un texto del estilo de «Sí, doy permiso para que me mandéis información promocional y tonterías varias» y dicha casilla tendría que estar desmarcada por defecto.
3.- Replanteando el email marketing
Un caso concreto que me llama la atención es el de las webs donde te «regalan» algo si dejas tu email, con idea de captar correos para integrarlos en su base de datos y que entren en el ciclo de correos/ofertas/novedades.
En estos casos sí que es necesaria famosa casilla de «Sí, acepto que me mandéis bla bla», cosa que perjudica la conversión del formulario (hay una regla general en este campo: cuantos más datos pidas, menos gente lo rellena).
Sin embargo, he leído por ahí un artículo muy interesante donde se plantea que la sencilla solución a este problema es darle la vuelta a los textos de captación: en lugar de solicitar su correo para mandarle el manual/infoproducto/oferta que sea y de paso suscribirlo a tu lista, lo que puedes hacer es solicitar el correo para informarle periódicamente de tus novedades/productos/ofertas y como agradecimiento enviarle lo que sea que usas como «cebo».
Es decir plantearlo más bien al estilo de: Déjanos tu email para que te informemos periódicamente de nuestras novedades/ofertas y además recibirás inmediatamente nuestro maravilloso y sublime ebook ‘Cómo hacer X en Y sin preocuparte por Z‘, adaptando cada uno a su caso concreto, claro.
Hay un detalle adicional que sólo mencionaré de pasada, y es la necesidad de registro del consentimiento de la persona para que trates sus datos.
Hay diversas formas de hacerlo por la parte técnica pero parece que las principales plataformas de email marketing lo tienen resuelto, así que en principio sólo tendrías que asegurarte de que tu plataforma lo hace. En el caso de captar los datos manualmente desde un formulario «normal» de tu web y querer hacer esta famosa suscripción la newsletter, te queda el correo que genera la petición, aunque realmente se le podrían apretar las tuercas al sistema y buscar la forma de mandarle un correo para obtener el doble consentimiento con respecto a ese uso concreto de los datos.
4.- Las cookies
Otra cosilla a revisar es el tema de las cookies. Cuando parecía que la UE había visto por fin la luz, y se iba a acabar la tontería del aviso («¡Cuidado, el agua moja!») parece que la cosa ha ido en sentido contrario y hay que proporcionar exactamente la misma experiencia de uso a los visitantes que no quieran tener cookies, lo que en la práctica va a ser imposible en muchos casos.
Además, me temo que vaya a afectar a las estadísticas de visitas, lo que nos complicará la vida. Próximamente veremos cómo solucionar el tema.
Conclusiones
Si no lo tienes claro o si estabas en vías de adaptarte a la LOPD uno de estos días, ahora puede ser buen momento para aprovechar el tirón y dejar el tema cerrado.
Lo prudente sería contratar un servicio especializado que te lo deje todo a punto; eso sí, asegúrate de que contratas a alguien que sepa lo que hace, que estoy viendo cada ocurrencia…. (no nosotros no ofrecemos ese servicio, lo siento).