Qué debes considerar para la nueva RGPD o GDPR si tienes una web en Europa

Qué debes considerar para la nueva RGPD o GDPR si tienes una web en Europa

¿Qué es el Reglamento (UE) 2016/679?

Casi el 40% de mi tráfico proviene de España, por lo cuál he creído responsable hablar de este tema, el cual está causando algo de revuelo allá (Spoiler: y porque en algún momento esto aplicará al resto del mundo que haga negocio en Europa). El próximo 25 de mayo de este año (2018) entrará en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.

Esta ley, ha sido aprobada y ha entrado en vigor desde el 25 de mayo del 2016, aunque se aplicará como tal hasta el muy próximo 25 de mayo 2018 y para el caso español llegó a remplazar a la anterior LOPD (Ley Orgánica de Protección de Datos española).

¿Para quienes nos están leyendo (quizá mis lectores latinos) y no saben del riesgo que implica esto, pues voy a tratar de explicar un poco por qué esto representa un gran dolor de cabeza en Europa.

Sanciones del Nuevo Reglamento General de Protección de Datos

Muchos nos preguntaríamos, ¿por qué una ley que ha sido aprobada desde abril del 2016 estaría siendo aplicada hasta mayo del 2018? - ¡presúmelo en tus redes sociales!       La razón es justo porque el Parlamento Europeo consideró que debería ser ese el tiempo necesario para que las empresas europeas se adaptaran y pudiesen aplicar las modificaciones necesarias para cumplir la normativa.
Si bien, ya existían sanciones que se aplicaban cuando había afectados con la anterior LOPD, la severidad del nuevo reglamento es más intensa. De hecho, las sanciones impuestas sobre infracciones al RGPD pueden ascender de los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global).
 
 
Infografía sobre infracciones y sanciones del Reglamento General de Protección de Datos

¿Qué debo cambiar en mi web para evitar incumplir con esta ley?

Y bueno, cómo éste no es un blog legal, vamos a charlar sobre qué deberíamos prevenir en nuestras webs para evitar caer en sanciones con la aplicación de la nueva RGDP - ¡presúmelo en tus redes sociales!        y más enfocado a la captación de leads.
 
Para empezar, ahora será necesario que la recopilación de datos o suscripciones que vayan a ser utilizadas como bases de datos para fines publicitarios sean validadas en 2 niveles. Es decir, será necesario que el usuario acepte las Políticas de Privacidad desde el formulario (donde además deberá imprimirse un mensaje explícito) y que además confirme la suscripción o llenado entrega de datos a través de un correo electrónico.
 

Acerca del formulario y el mensaje de Políticas de privacidad

Será necesario que ahora exista una casilla que puedan marcar todos los usuarios que deseen suscribirse a un blog o dejar sus datos para que los contacten (un lead), donde acepten las políticas de privacidad, de manera obligatoria. Si este blog fuese europeo, debería cumplir con ese requisito. Lo anterior quiere decir que ahora todos los formularios deberán cumplir con este nuevo check box.
 

Ahora, ¿cuál es la diferencia substancial entre este requrimiento con la nueva RGDP y la anterior LOPD? Pues me pareció muy interesante la explicación de Raúl Florido, un abogado de Malaga que colaboró con un artículo para monetizados.com, que describe muy bien, en lo técnico-legal, estas diferencias.

Resulta que con la anterior LOPD a veces bastaba con simplemente incluir en las políticas de privacidad cierta información previamente a recoger los datos, o sea, bastaba con que se aplicara un clic en un check box que tenía una sentencia de Políticas de Privacidad. Pues ahora resulta, que se deberá incluir un mensaje muy claro que además sea legible donde se pueda informar de manera clara que el usuario está aceptando la recolección de sus datos y el uso de ellos.

Les dejo un ejemplo que se han creado justo en este post de Monetizados.

texto-a-incluir-en-formularios-de-suscripcion

 

Acerca del correo electrónico de confirmación

Después de que el usuario haya dejado sus datos en nuestro formulario, será necesario que enviemos un correo electrónico donde incluyamos un botón o enlace para confirmar la suscripción. ¡Vaya, parece que esto representa un verdadero dolor de cabeza en temas de Conversion Rate, pero si no es aplicado pueden surgir serios problemas, ejemplo:

Si un usuario llenara tu formulario con un correo que no es de él, por ejemplo, si utilizara el correo de su primo o de un amigo, quizá sólo por trolear, al no existir una confirmación,le estarían llegando tus emails comerciales a el primo o el amigo del usuario que llenó tu formulario, ante lo cual estarías incumpliendo con el RGPD y serías merecedor de una sanción.

También se deberá incluir un aviso legal en el correo electrónico que informe al usuario receptor el motivo por el cual recibe dicho email y que informe de la confidencialidad con la que serán tratados sus datos.

Utilizaré como ejemplo el mismo mensaje que nuestro amigo de Monetizados, reiterando que en este artículo no he hecho más que recopilar un montón de información de distintas fuentes y unificarla de una forma amigable, pues yo no soy un experto en leyes. Pero bueno, ya les he regalado un backlink follow a nuestros amigos de Monetizados por estos mensajes que me he traído de allá.

 

 

Pero bueno, esta ley sólo se ha aprobado en Europa, en mi caso yo no debería preocuparme, pues este blog es mexicano…¿o sí? :/

¡Se extiende el ámbito de aplicación de la RGDP a todo el mundo! - ¡presúmelo en tus redes sociales!       

Pues ahora resulta que a diferencia de con la LOPD que se aplicaba sólo a países miembros de la Unión Europea, la nueva RGDP tiene el objetivo de extender su aplicación a todo el mundo. pero, ¿eso es posible?

Lo anterior quiere decir que cualquier persona o compañía que trate datos personales con ciudadanos o entidades de la Unión Europea deberá cumplir con estos requisitos.

En este momento mi formulario de suscripción al newsletter cumple con el requisito de la confirmación, ya que es un formulario de Mailchimp y esa plataforma cumple con esas políticas, sin embargo, no poseo una leyenda que informe de la aceptación de políticas de privacidad ni de un check box que sirva de autorización, por la razón de que será necesario que lo consulte con mi abogado, antes de emitir un documento de políticas y porque aún estamos lejos de la aplicación de esta nueva ley hacia todo el mundo.

¿Qué se necesita para que este el RGPD pueda aplicarse con efectividad al resto del mundo?

Pues tendrían que surgir convenios bilaterales entre países para que se generen reformas que obliguen alinearse a través de convenios internacionales y sinceramente es algo que veo muy lejos aún en latinoamérica.

¿Qué debo considerar en mi proceso de recolección de data con Google Analytics?

Esto, aunque no se trata de nuestro sitio web, sino una herramienta de un tercero(Google) sí debemos considerar que tenemos cierta responsabilidad al utilizarla.

Para empezar no debemos recopilar lo que Google llama información personal identificable, lo cual comprende:

  • Nombres
  • Números de la seguridad social
  • DNI
  • Direcciones de correo electrónico
  • etc.

Por default, Google Analytics no recopila esta información, sin embargo, técnicamente sí se puede enviar a la plataforma. Si desean entender más el cómo se hace este data collection hacia el servidor de Google Analytics les invito a leer el este post de mi gran amigo Oscar Iyañez, Dimensiones y métricas personalizadas

Ahora, Google Analytics recopila IPs, aunque no las muestre en los informes. Entonces, será recomendable que puedas anonimizar las IPs, lo cual puedes hacer personalizando el código de seguimiento con esta documentación. En este otro enlace te dejo un ejemplo de cómo se anonimiza el código de Google Analytics.

Aceptar o no seguimiento de Google Analytics

Una de las cosas que deberás incluir en tus políticas de privacidad es la opción de ser trackeado o no por Google Analytics. Será necesario que incluyas un botón que permita denegar el tracking de Google Analytics, o sea de implantación de cookies.

Para lo anterior, si utilizas WordPress te recomiendo el siguiente plug in: EU Cookie Law.

Uff, bueno, este es un tema muy extenso y seguro hay toneladas de información extra. Pro ahora, esto es lo qu ehe recopilado para ustedes y espero sea de gran utilidad. Si algo ha faltado, por favor, dejen un comentario y seguro lo analizaré e incluiré.

Pero hoy ya puedes decir: ¡Estoy listo para la nueva RGDP, venga! - ¡presúmelo en tus redes sociales!       

 

 

 

Fuentes: 
http://www.mundolopd.com/lopd/infografia-infracciones-sanciones-reglamento-general-proteccion-datos/
https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news/2016_05_26-ides-idphp.php
https://www.logalty.com/al-dia/2017/10/rgdp-reglamento-general-proteccion-datos-sustituye-la-lopd/
https://es.wikipedia.org/wiki/Reglamento_General_de_Protecci%C3%B3n_de_Datos
https://ayudawp.com/rgpd-google-analytics-y-wordpress-tengo-que-hacer-algo-al-respecto/
https://developers.google.com/analytics/devguides/collection/analyticsjs/field-reference#anonymizeIp

About José Arturo Navarro Mayorga

Apasionado de la data, el Code y las Matemáticas. Experto en SEO y Estrategia de Negocios Digital. #GrowthHacker. Me interesa todo lo que esté cambiando al mundo ahora.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *