Cómo adaptar tu web al GDPR

Seguramente la fecha del 25 de mayo te suene y la lleves oyendo bastante tiempo.

En efecto, es la fecha en que comenzará a ser exigible el nuevo Reglamento General de Protección de Datos o GDPR, por sus siglas en inglés. Y sí, hemos dicho “ser exigible” y no “entrará en vigor” porque realmente entró en vigor hace casi dos años (el 25 de mayo de 2016) solo que nos han dado esos dos años para adaptar nuestras empresas y webs a la nueva regulación.

Y… ¿Has aprovechado esos dos años para adaptarte?

Adaptacion web al GDPR LOPD proteccion de datos LegalWEbCompliance fun4shoppersAl menos en el tema web, solo hace falta darse un paseo por internet para comprobar que no. La inmensa mayoría de webs que se ven en la red no están adaptadas o tienen incumplimientos que podrían devenir en sanciones importantes a partir del día 25 de mayo.

Porque sí, si tienes una web, la tienes que adaptar al GDPR. Sí o sí.

Bueno, vale… si no tienes ningún modo de contacto, ni formulario de suscripción, ni capturas ningún dato personal de tus usuarios (dato personal es ya su correo electrónico), entonces no tienes que hacer nada. Es verdad.

Así que partimos de esa premisa: tu web tiene que cumplir el GDPR y tienes, por tanto, que implementar los ajustes necesarios.

Podemos dividir esa necesaria adaptación al GDPR de las webs en dos apartados o grandes secciones: la legal/informativa, por llamarlo de alguna manera, y la técnica o estructural de la web.

En el primer apartado (legal/informativo) se hace necesaria una profunda revisión de todos los textos legales obligatorios. Sí, tu web tiene que tener textos legales. Es obligatorio. Te pongas como te pongas.

Y deben ser TUS textos legales, no vale que se los copies al Corte Inglés, a Amazon o a ese crack que sigues en redes sociales y todo lo sabe. Eso es, al margen de reprobable, una cutrada, puede constituir un delito de plagio y, además, de poco o nada te va a servir en el caso de que tengas un problema con un usuario de la web, porque no estarán adaptados a tus intereses y actividad concretos.

Nuestra recomendación es la misma de siempre: del mismo modo que defendemos que una web la debe diseñar un profesional, la redacción de tus textos legales es un trabajo de abogados especialistas en derecho digital o tecnológico. En fun4Shoppers estamos perfectamente cubiertos en ese sentido y los textos de nuestras webs están redactados por profesionales expertos a quienes derivamos su redacción (pese a que tenemos formación en Derecho Tecnológico, pero no es el core de nuestra actividad).

Bien, pues además de esa necesaria revisión de los textos legales “que ya tenías” (sic) para adaptarlos a la nueva norma, el GDPR introduce la necesidad de una información exhaustiva del tratamiento que se va a dar a los datos personales recabados.

Así, deberá informarse de forma clara y concisa en una primera capa a la hora de capturar esos datos, y de forma más extensa y precisa mediante el correspondiente apartado en la Política de Privacidad, de:

  • La finalidad del tratamiento de los datos (qué vamos a hacer con ellos)
  • El responsable de su tratamiento (quién o quiénes van a tener acceso a ellos)
  • Si existe o no cesión de los mismos a terceras personas o empresas
  • Cuál es la legitimación para tratar esos datos
  • Los derechos que tiene el usuario para con sus datos personales (además de los tradicionales de acceso, rectificación, cancelación o supresión y oposición, se añaden el derecho a la portabilidad de los datos y el de limitación y oposición al tratamiento)

Eso deber de informarse de manera sencilla en el formulario de contacto, previamente al envío de los datos, solicitando el consentimiento del usuario a ese tratamiento concreto.

Ya en apartado específico de la Política de Privacidad de la web (que deberá ser accesible desde el propio formulario), se informará de manera detallada de los anteriores aspectos para que el usuario tenga toda la información posible sobre el destino de sus datos.

Y de todo ello, obtener el correspondiente consentimiento: el del tratamiento y el de aceptación de las políticas correspondientes.

Adaptacion web al GDPR consentimiento informado

En cuanto a la parte técnica o estructural de la web un par de aspectos importantes:

El GDPR exige que ese consentimiento del que hablábamos antes, suponga una acción proactiva del usuario y que, además, tenemos que poder acreditar esa acción de consentimiento.

Vale. Y eso, ¿qué significa? Pues en primer lugar que adiós a los check premarcados. No son válidos ya que no supondrían ninguna acción expresa por parte del usuario.

Además, deberemos poder guardar la evidencia de que ese consentimiento se ha producido. ¿cómo?, pues almacenando ese campo de check junto con el resto de datos del interesado y el timestamp de cuándo se ha producido el consentimiento.

Además, obviamente, de programar ese check como necesario, es decir, que esté imposibilitado el envío de datos si no se ha expresado el consentimiento.

Como hacerlo técnicamente ya depende del tipo de web que tengamos. Pero bien sea un CMS como WordPress, o bien sea una web en html, es similar. Simplemente deberemos automatizar la recogida de datos mediante formularios, almacenando junto con los datos capturados, los campos necesarios que demuestren la acción positiva del usuario, así como la fecha y hora en que se ha producido.

Ese consentimiento expreso debe requerirse en cualquier captación de datos personales, así sea un simple correo electrónico para suscripción al boletín o al blog.

Adaptacion de tu web al GDPR consentimiento LegalWebCompliance fun4Shoppers

WordPress no lo ofrece de manera directa, pero ahí ya entra (entramos) en juego los profesionales para adaptar los módulos necesarios para conseguir que ese consentimiento tenga que ser explícito y, además, quede registrado. Tanto en la suscripción al blog como, por ejemplo, en los comentarios o en cualquier CTA con el que ofrezcamos un regalo a cambio de un correo.

El otro aspecto importante de la parte técnica de la web es menos evidente (ya que no lo dice estrictamente el GDPR), pero está implícito.

El Reglamento especifica que el responsable del tratamiento adoptará todas las medidas técnicas y organizativas a su alcance para garantizar la seguridad de los datos que trata.

Pues bien, si yo capturo datos a través de mi página web mediante un formulario y mi web no es https (no tiene certificado SSL) no estoy poniendo todas las medidas a mi alcance para garantizar su seguridad.

Todos sabemos (o deberíamos) que los datos de una web http (normal) se transmiten en abierto, en texto plano. Cualquier interceptación de esa comunicación (cuando viajan desde el navegador del usuario hasta mi servidor) dejará expuestos los datos personales.

Si la web tiene certificado SSL y trabaja, por tanto, en https, los datos en toda comunicación viajan cifrados, permaneciendo a salvo de cualquier posible interceptación.

Así que está muy claro: si tu web no es https, no cumple. Tan sencillo como eso.

Como ves, son cuatro cosas las que hay que hacer. Ahora, eso sí, mejor que lo hagas bien porque las sanciones del GDPR no son ninguna tontería.

Para garantizar que no vas a tener ningún problema, encarga la adaptación de tu web a un abogado experto en derecho digital o tecnológico, para la parte legal, y a un desarrollador/diseñador (que sepa de qué va esto del GDPR), para la parte técnica.

Y, ¿cómo saber si de verdad saben del tema? Te damos un “truquillo”: lo primero, ¡mira su web!

Si no cumple estrictamente con lo que te acabamos de contar, malamente van a poder hacer que la tuya lo haga, ¿no te parece?

#fun4DJ #fun4LegalWebCompliance

Por | 2018-04-24T17:45:20+00:00 abril 24th, 2018|Blog, fun4CyberSecurity|No hay comentarios

About the autor:

#fun4DJ & CEO en fun4Shoppers || Digital Marketing - Social Media - Web Design - Events&Music - fun4CiberSecurity - Geek & Knowmad || En constante aprendizaje en un mundo en el que lo que hoy vale, mañana está obsoleto - Huyo de los jetas, de los vendedores de humo y de quienes pretenden aparentar - Si necesitas algo de mí, tan solo pídemelo - Creo en las personas - Always searching #PureLife - Si me dices ven, lo dejo todo

Deje su comentario