Te respondo a todas las preguntas o lo que necesitas saber sobre el RGPD como si se lo estuviera explicando a mi hija de 5 años, de forma clara y sencilla.
Sobre todo te vendrá muy bien si tienes una web o un blog y quieres saber si necesitas hacer algo. 👌
- 🔹 ¿Qué es RGPD?
- 🔹 ¿Para qué sirve el RGPD?
- 🔹 ¿Es lo mismo RGPD y GDPR?
- 🔹 ¿Es lo mismo RGPD y LOPDGDD?
- 🔹 ¿Qué son datos personales según el RGPD?
- 🔹 ¿Cuántas categorías de datos personales hay según el RGPD?
- 🔹 ¿Qué tiene que ver el RGPD con las cookies?
- 🔹 ¿Qué pasa si no cumplo el RGPD?
- 🔹 ¿Qué ventajas tiene el RGPD?
- 🔹 ¿En qué casos debo cumplir el RGPD?
- 🔸 ¿Si mi web o blog está en Europa?
- 🔸 ¿Si mi web o blog está fuera de Europa?
- 🔸 ¿Si mi web o blog solo tiene comentarios activados?
- 🔸 ¿Si mi web o blog solo tiene formularios activados?
- 🔸 ¿Si mi web o blog no tiene formularios ni comentarios activados?
- 🔸 ¿Si mi blog en Blogger muestra un aviso de cookies?
- 🔸 ¿Si no gano dinero con mi web o blog?
- 🔸 ¿Si mi web o blog no tiene formularios ni comentarios activados ni instala cookies de terceros?
- 🔸 ¿Si contactan conmigo directamente por email y sin formularios en la web?
- 🔹 ¿Cómo puedo saber si mi web o blog cumple el RGPD?
- 🔹 ¿Cómo cumplir el RGPD en una web o blog?
- 🔹 ¿Qué plugins de WordPress usar para cumplir el RGPD?
- 🔹 ¿Qué hay que hacer si comparto los datos personales que tengo con un tercero?
- 🔹 ¿No basta con un plugin de cookies para cumplir el RGPD?
- 🔹 ¿Dónde conseguir plantillas de textos legales para el RGPD?
- 🔹 ¿Puedo usar los mismos documentos legales para varias webs de la misma empresa?
- 🔹 ¿Dónde deben ir los textos legales?
- 🔹 ¿Hay que informar y especificar qué cookies se usan?
- 🔹 ¿Cómo hacer que la RGPD no interfiera en tus métricas?
- 🔹 ¿Cómo denunciar a quien incumple el RGPD?
🔹 ¿Qué es RGPD?
RGPD son las siglas de Reglamento General de Protección de Datos, y es un conjunto de normas europeas que explican cómo hay que tratar y proteger los datos personales de la gente (nombre, email, teléfono, IP, cookies que le identifiquen, etc.).
Imagínate el RGPD como si fueran las normas de tráfico y seguridad vial para que no haya accidentes. 🙂
– fuente: texto legal con la regulación del RGPD
🔹 ¿Para qué sirve el RGPD?
Si eres tú (seas de donde seas) quien va a pedir y usar datos personales de ciudadanos europeos (y da igual que seas una empresa, autónomo o simplemente tengas una web o blog), el RGPD sirve para decirte cómo tienes que hacerlo.
Y si tú eres un ciudadano europeo que va a dejar sus datos personales a alguna otra persona, web, blog, negocio o empresa (sea de donde sea), el RGPD sirve para que puedas controlar tus datos los dejes donde los dejes: si quieres que solo los usen para algunas cosas, que los eliminen, que los cambien, etc.
Siguiendo con el ejemplo de antes, si el RGPD fueran las normas de circulación, estas servirían para que los coches respeten las señales de tráfico y los peatones estén más seguros a la hora de cruzar un paso de peatones. 😊
Por ejemplo, en mi blog el RGPD me sirve para saber cómo tengo que explicarle al usuario que al suscribirse solo les enviaré emails relacionados con temas del blog. Y al suscriptor de mi lista le sirve para que pueda pedirme sin problema que se quiere dar de baja o que cambie sus datos.
– fuente: RGPD para negocios
– fuente: RGPD para ciudadanos
🔹 ¿Es lo mismo RGPD y GDPR?
Sí. se refieren a lo mismo, solo que RGPD está en español (Reglamento General de Protección de Datos) y GDPR está en inglés (General Data Protection Regulation).
🔹 ¿Es lo mismo RGPD y LOPDGDD?
No. El RGPD es un conjunto de normas europeas, pero luego cada país hace sus propias leyes a partir de esas normas europeas. Pues la LOPDGDD es la ley española (Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales) que se basa en el RGPD europeo.
No es lo mismo, pero son muy parecidas.
Siguiendo con el ejemplo de las normas de circulación.
En toda Europa hay unas normas obligatorias (como conducir con el cinturón puesto), pero luego cada país tiene sus propias normas a partir de la europea, como el límite de velocidad en carretera, que es distinto en muchos países.
🔹 ¿Qué son datos personales según el RGPD?
Pues el RGPD dice que un «dato personal» es cualquier información que pueda identificar a una persona, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios datos físicos, fisiológicos, genéticos, psíquicos, económicos, culturales o sociales.
La propia Comisión Europea pone estos ejemplos como datos personales:
- nombre y apellidos
- domicilio
- dirección de correo electrónico del tipo [email protected]
- número de documento nacional de identidad
- datos de localización (como los datos de localización de un teléfono móvil)
- dirección de protocolo de internet (IP)
- el identificador de una cookie
- el identificador de la publicidad del teléfono
- los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona
- etc.
– fuente: Qué son los datos personales según el RGPD
🔹 ¿Cuántas categorías de datos personales hay según el RGPD?
Dentro de lo que el RGPD define como «dato personal», diferencia la «categoría especial de datos personales» o «datos sensibles», y tienen un tratamiento de mayor seguridad.
¡Así que cuidado si recoges estos datos!
Más concretamente, el RGPD dice que son «datos sensibles»:
- los datos personales que revelen el origen racial o étnico, las opiniones políticas y las convicciones religiosas o filosóficas
- la afiliación sindical
- los datos genéticos y datos biométricos tratados únicamente para identificar un ser humano
- los datos relacionados con la salud
- los datos relacionados con la vida sexual u orientación sexual de una persona
– fuente: Qué datos personales se consideran sensibles
Pues que hay algunas cookies (unos ficheritos con datos que se guardan en nuestro navegador cuando visitamos algunas webs) que sirven para identificarte a ti como persona, así que eso también sería un dato personal y tendría que cumplir el RGPD.
Por ejemplo, un blog mexicano que tiene visitas de usuarios españoles. Si este blog usa alguna herramienta para saber cuántas personas lo visitan (como Google Analytics) con cookies que identifican esas visitas, entonces tiene que cumplir el RGPD.
– fuente: Punto (30) del RGPD
🔹 ¿Qué pasa si no cumplo el RGPD?
Pues ojito porque si en tu caso tienes obligación de cumplirlo y no lo haces, cualquiera podría denunciarte y luego las autoridades que se encargan de esto en cada país, podrían «avisarte» primero o multarte directamente, según lo grave que sea.
En España, por ejemplo, las denuncias se envían a la AEPD (Agencia Española de Protección de Datos), ellos se encargan de estudiar cada caso y deciden si te avisan primero para que lo arregles (lo que llaman «apercibimiento») o si te sancionan con una multa que dependerá de lo que no estás cumpliendo, lo que hayas hecho, si es muy grave, si lo haces constantemente, etc.
💰 La cantidad de la multa según el RGPD según cada caso (más o menos grave) puede ser de:
- hasta 10 millones de € como máximo o, si eres una empresa, el 2% de tu facturación anual.
- hasta 20 millones de € como máximo o, si eres una empresa, el 4% de tu facturación anual.
Luego cada país tiene sus propios «rangos» según la gravedad. En España, por ejemplo, la ley española del RGPD (la LOPDGDD) parece que define 3 niveles:
- infracciones leves: hasta 40.000€
- infracciones graves: desde 40.001€ hasta 300.000€
- infracciones muy graves: desde 300.001€ hasta los 20 millones de € que define el RGPD
Por ejemplo, en este caso denunciado a la AEPD multaron a una web de reservas de hoteles y viajes porque la web te añadía cookies de terceros (que no eran de la propia web) sin esperar a que el usuario aceptase o rechazase que lo hiciera.
5.000€ de multa.
Y en este otro caso denunciado, a una web la multaron por no tener la política de privacidad adaptada al RGPD y por añadir cookies de terceros al usuario sin que pudiera rechazarlas antes.
1.000€ de multa.
Y así un montón de denuncias…
– fuente: Artículo 83 del RGPD sobre las sanciones
– fuente: Buscador público de sanciones que ha dictado la AEPD en los últimos años
– fuente: Listado de últimas multas que han dictado las distintas autoridades en paises europeos
🔹 ¿Qué ventajas tiene el RGPD?
Pues a parte de que el RGPD son normas que tienes que cumplir sí o sí obligatoriamente (si es tu caso, claro) y que te pueden multar si no, hacer que tu web o blog cumpla esas normas siendo lo más transparente posible ayuda a:
- Generar confianza y credibilidad
- Diferenciarte de tu competencia
- Ganar reputación
- Evitar multas
En mi caso, si tuviera que quedarme con 1 de estas, sería sin duda la de generar confianza y la credibilidad en las personas que te visitan, que te dejan comentarios, que se suscriben a tu lista de correos, que compran tus productos, que contratan tus servicios, etc.
Por ejemplo, si tuviera que comprarme un PC nuevo de 800€, elegiría una tienda online que me dé la confianza suficiente para comprar en ella: que use certificado SSL, que tenga una política de privacidad, un aviso legal, unas condiciones de venta, etc.
Si la tienda que estoy viendo no tiene nada de esto, no me explica quiénes son, dónde están, qué pasa si el producto falla, etc… Mal. ❌
Ni se me ocurre dejarles mis datos personales (nombre, dirección de envío, información de pago, etc.) y mucho menos pagarles por un PC que no tengo claro si me llegará a casa.
🔹 ¿En qué casos debo cumplir el RGPD?
Pues aquí el propio reglamento dice que va dirigido a personas, empresas u organizaciones que están en Europa o gestionan datos personales de ciudadanos de la Unión Europea.
Si es para cosas «personales» tuyas, no tienes por qué cumplirlo, pero en el resto de casos que salgan de ese «ámbito personal», SÍ hay que cumplirlo.
Por ejemplo, un blog que lo visita gente de España tiene abierto el apartado de los comentarios para que la gente pueda comentar. Pues ese blog debe cumplir el RGPD porque recoge datos personales (nombre o email) de ciudadanos europeos (de España concretamente).
Pero si por ejemplo envías un email a tus amigos para quedar el fin de semana, en ese caso no hace falta cumplir el RGPD porque entra dentro de lo personal.
– fuente: Qué rige el RGPD
🔸 ¿Si mi web o blog está en Europa?
Si tu web o blog está en Europa y recoge datos personales de alguna forma (formularios, comentarios, estadísticas de las visitas, etc.), entonces SÍ estás obligado a cumplir el RGPD.
Por ejemplo, una simple web europea que tenga la herramienta Google Analytics para medir las visitas que tiene y la herramienta le instala cookies al usuario que visita la web o recoge datos personales suyos (como su IP), esa web está obligada a cumplir el RGPD.
– fuente: A quién se aplica el RGPD
🔸 ¿Si mi web o blog está fuera de Europa?
Si tu web o blog está fuera de Europa y recoge datos personales de ciudadanos europeos de alguna forma (formularios, comentarios, estadísticas de las visitas, etc.), entonces SÍ estás obligado a cumplir el RGPD.
Por ejemplo, una simple web de cualquier parte del mundo (México, por ejemplo) que tenga visitas de usuarios de España y que tenga un formulario de contacto donde el usuario tiene que poner su email para poder contestarle, esa web está obligada a cumplir el RGPD.
Y otra web mexicana que NO tiene visitas de usuarios de España porque se centra única y exclusivamente en usuarios mexicanos, esa web NO está obligada a cumplir el RGPD.
– fuente: A quién se aplica el RGPD
🔸 ¿Si mi web o blog solo tiene comentarios activados?
Si tu web o blog está en Europa, o está fuera de Europa pero recibe visitas de ciudadanos europeos, y pueden dejar comentarios con su nombre o email, entonces SÍ estás obligado a cumplir el RGPD.
Por ejemplo, un blog hecho desde cualquier parte del mundo (Colombia, por ejemplo) que tenga visitas de usuarios de España y que permita dejar comentarios usando su nombre o email, ese blog está obligado a cumplir el RGPD.
– fuente: A quién se aplica el RGPD
🔸 ¿Si mi web o blog solo tiene formularios activados?
Si tu web o blog está en Europa, o está fuera de Europa pero recibe visitas de ciudadanos europeos, y pueden enviarte mensajes con su nombre o email usando esos formularios, entonces SÍ estás obligado a cumplir el RGPD.
Por ejemplo, una web de una empresa de Perú que tenga visitas de usuarios de España y que permita enviar mensajes a través del formulario de la web (usando su nombre o email) para contratar sus servicios, esa web está obligada a cumplir el RGPD.
– fuente: A quién se aplica el RGPD
🔸 ¿Si mi web o blog no tiene formularios ni comentarios activados?
Si tu web o blog está en Europa, o está fuera de Europa pero recibe visitas de ciudadanos europeos, no recoge datos personales con formularios ni comentarios, pero por ejemplo sí que usa alguna herramienta para medir visitas (como Google Analytics) que instale cookies que identifiquen a los usuarios, SÍ estás obligado a cumplir el RGPD.
Por ejemplo, una web para anunciar un producto que tenga visitas de usuarios de Europa, que no tiene formularios ni comentarios pero sí que usa Google Analytics para saber cuántas personas ven el anuncio, esa web está obligada a cumplir el RGPD.
Pero si esa misma web no recoge datos personales de ninguna forma, ni con formularios, ni comentarios, ni instala cookies de terceros al usuario, entonces NO está obligada a cumplir el RGPD.
– fuente: A quién se aplica el RGPD
Si es el que pone Blogger por defecto para que aparezca cuando lo visitan ciudadanos europeos, y efectivamente está instalando cookies o recoge información personal como la IP, SÍ tiene que cumplir la RGPD.
Y el gran problema es que ese banner NO cumple la RGPD. 😲
Por ejemplo, entro al blog de Blogger y me sale este banner avisando de que YA me ha instalado cookies analíticas sin darme la opción de rechazarlas y que va a recoger mi IP (que es un dato personal).
Y estas son las cookies que me ha instalado sin esperar a que yo las aceptara. 😤
Así que NO cumple con la RGPD.
-fuente: El RGPD y las cookies
🔸 ¿Si no gano dinero con mi web o blog?
Da igual que no ganes dinero con tu web o blog, da igual si lo estás monetizando o si lo que ofreces es contenido gratuito. No depende de eso.
El RGPD se debe cumplir cuando se recogen datos personales de ciudadanos europeos, aunque sea un blog gratuito que no vende nada, aunque no tenga anuncios ni nada por el estilo.
Por ejemplo, un blog gratuito hecho con Blogger abierto al público y que simplemente publica poemas y recetas, si recibe visitas de usuarios europeos y pueden dejar comentarios, SÍ tiene que cumplir el RGPD.
– fuente: A quién se aplica el RGPD
Si tu web o blog está en Europa, o está fuera de Europa pero recibe visitas de ciudadanos europeos y no recoge datos personales de ninguna forma (ni con formularios, ni comentarios, ni instala cookies para identificar a los usuarios, etc.), entonces NO estás obligado a cumplir el RGPD.
Por ejemplo, una web de una panadería que explica lo que vende y dónde está la tienda, y no recoge ningún dato personal de ninguna forma ni usa ninguna herramienta «externa» que instale cookies al ususario, esa web NO está obligada a cumplir el RGPD.
– fuente: A quién se aplica el RGPD
🔸 ¿Si contactan conmigo directamente por email y sin formularios en la web?
Si en la web no tienes formularios para que los usuarios te envíen mensajes y solo pones tu email para que te manden un correo directamente, en ese caso no te haría faltar adaptar tu web al RGPD (ojo, si tampoco recoges datos personales de ninguna otra forma en la web con comentarios, cookies, etc.).
Pero SÍ tendrías que cumplir el RGPD cuidando los datos personales (nombre, email, etc.) de quien te mande un email. Y de hecho hay que informarle a esa persona de que efectivamente lo cumples cuando le respondas.
Lo que se suele hacer es añadir un texto en la firma de tus emails, y explicar ahí que cumples con el RGPD, para qué usarás sus datos, los derechos que tiene, un enlace a tu política de privacidad más detallada, etc.
👉 En estos kits legales (de los que soy afiliado) tienes plantillas RGPD también para los emails.
Por ejemplo, una web de una empresa Venezolana que vende a todo el mundo, que no tiene formulario de contacto, no recoge datos personales de ninguna forma y solo pone su email para que contacten con ellos.
Pues no es necesario que la web esté adaptada al RGPD. Pero si escribe un persona de España para informarse de sus productos, en la contestación esa empresa SÍ tiene que cumplir con el RGPD añadiendo un texto al final del email informando a esa persona.
🔹 ¿Cómo puedo saber si mi web o blog cumple el RGPD?
Pues lo ideal sería que un experto en la RGPD analizara tu web para saber si la cumple, pero también hay formas más sencillas (y baratas) con las que puedes hacerte una idea de si una web o blog cumple el reglamento:
- Test gratuito de comprobación: te recomiendo este test de Marina Brocca, porque ella es la experta en RGPD que me ayudó a adaptar mi blog al RGPD. Con 10 preguntas que te hace puede indicarte si efectivamente cumples el reglamento o no. 👌
- Análisis gratuito de Cookiebot: otra forma es comprobar desde esta web de Cookiebot si por ejemplo tienes cookies de terceros que se instalan sin que el usuario las haya aceptado antes (una de las cosas donde fallan más webs). Ojo, el tema de las cookies es solo una parte del cumplimiento total del RGPD, pero es un comienzo para saber si lo cumples.
Por ejemplo, usando la herramienta de análisis de cookies de Cookiebot, me avisa que el blog oficial de Blogger no cumple con el RGPD (tal y como te lo explicaba antes en este otro apartado). 😲
🔹 ¿Cómo cumplir el RGPD en una web o blog?
Pues esto depende de cada tipo de web o blog y sobre todo de la forma en la que esté recogiendo y usando los datos personales de los usuarios.
Resumiendo muy mucho, estas son algunas de las cosas más «generales» que hay que hacer, con ejemplos de mi blog:
- Tener las páginas legales de aviso legal, política de privacidad y política de cookies para informando al usuario de cada cosa.
* Si ofreces servicio profesionales o vendes productos, tener también una página con los términos y condiciones generales de contratación o compra.
- Evitar que se instalen cookies de terceros hasta que el usuario las acepte y que pueda rechazarlas (si usas WordPress hay plugins como este para hacerlo, y si no, puedes hacerlo con herramientas como Cookiebot).
- Añadir lo que se llama la «primera capa de información» debajo de todos los formularios (de contacto, registro, comentarios, etc.), que es un texto donde explicas al usuario quién eres, para qué quieres sus datos personales, etc.
- También en todos los formularios (de contacto, registro, comentarios, etc.) hay que añadir una casilla de aceptación de la política de privacidad (no puede estar marcada por defecto) con un enlace a esa política para que el usuario pueda leerla, que sería lo que llaman la «segunda capa de información».
- Añadir un texto de información para el usuario en la firma de tus correos electrónicos y también en los emails que envíes a tus suscriptores (si tienes).
- Etc. Porque hay más cosas que al final dependen de cada web.
Mi recomendación es que uses alguno de los kits legales (de los que soy afiliado) de la experta en RGPD que justamente me ayudó a mí a adaptar mi blog al reglamento (por eso la recomiendo, claro). 👌
Tiene kits según el tipo de web:
- si ofreces servicios online
- si se trata de un sitio con afiliación o publicidad
- para tiendas online
- si vendes infoproductos o cursos online
Eliges el kit que más se ajuste a tu tipo de web o blog, y cuando lo tengas solo hay que seguir la guía que trae paso a paso. Además que te incluye todas las plantillas de textos legales que puedas necesitar, cómo tienes que ajustarlas a tu caso, te explica cómo hacer cada cosa, etc.
En fin, ahora mismo es de las mejores opciones que hay y de las más baratas. Por menos de 100€ te puedes evitar multas de miles de euros, así de sencillo. 🤷
🔹 ¿Qué plugins de WordPress usar para cumplir el RGPD?
Antes de nada decirte que los plugins por sí solos no hacen que cumplas el RGPD, pero sí que te ayudan mucho a que tu web lo cumpla. Por ejemplo, si un usuario te pide que elimines sus datos personales, por mucho plugin que tengas instalado tienes que ser tú quien se encarga de hacerlo. 🙂
👉 Para cumplir el RGPD al completo en una web, mejor échale un vistazo a este otro apartado sobre cómo cumplir el RGPD.
Estos son algunos de los plugins que te pueden ayudar:
- Para aviso y control de cookies
- GDPR Cookie Compliance: de los mejores y más completos para gestionar y bloquear las cookies de terceros hasta que el usuario las acepta.
-
CookieYes | GDPR Cookie Consent & Compliance Notice: otro de los más usados y también permite controlar y bloquear cookies de terceros.
-
Cookiebot | GDPR/CCPA Compliant Cookie Consent and Control: es el plugin oficial de Cookiebot, el sistema que yo uso en mi blog (aunque yo lo añado de otra forma sin el plugin).
- Para información y aceptación en formularios
- Contact Form 7: es uno de los más famosos para crear formularios (le uso en mi blog) y trae ya opciones para añadir la información de la «primera capa» y la casilla para aceptar la política de privacidad. 👌
-
Contact Form 7 Database Addon – CFDB7: es una extensión muy buena para que guarde un registro de los mensajes enviados con los formularios creados con Contact Form 7.
- Gravity Forms: otro de los plugins más famosos y completos para hacer formularios de todo tipo, y por supuesto también puedes adaptarlos al RGPD.
-
Contact Form by WPForms: un buen plugin también para crear formularios y con opciones para adaptarlo al reglamento.
- Plugins para temas de seguridad
-
WP Activity Log: es un plugin que va registrando todo lo que pasa en tu WordPress como inicios de sesión, si alguien ha editado un post, si lo ha publicado, si un usuario ha hecho cambios, etc. Muy recomendable si hay varios usuarios en un mismo WordPress.
-
iThemes Security: es un plugin que uso en mi blog también, y trae muchas opciones de seguridad para tu WordPress.
-
Duo Two-Factor Authentication: es un plugin de «verificación en 2 pasos» que uso en mi blog para que cada vez que entre al panel de control me pida confirmación con una app instalada en mi móvil. Hay más plugins del mismo estilo como el miniOrange’s Google Authenticator o el Wordfence Login Security.
-
🔹 ¿Qué hay que hacer si comparto los datos personales que tengo con un tercero?
Pues por un lado tienes que informar a los dueños de esos datos personales de lo que vas a hacer con sus datos, y eso significa explicarles también que vas a compartirlos con ese tercero, quién es, por qué, para qué, etc., y por supuesto que los contactos te den su consentimiento.
Se hace básicamente como lo explico en uno de los puntos de este apartado: añadir esa info y la casilla de aceptación en los formularios (por ejemplo).
Y por otro lado, tienes que asegurarte de que ese tercero efectivamente también cumple con el RGPD, porque si no lo hace, no puedes compartirle esos datos. Dentro de los kits legales que recomiendo hay también una plantilla para hacer un contrato de confidencialidad con tus colaboradores o terceros, y asegurarte así tu responsabilidad por esa parte.
* Por cierto, si ese tercero al que le compartes los datos a su vez los va a compartir con otra persona o empresa (lo que llaman una «cadena de subcontratación»), ésta también debe cumplir con el RGPD y a ti tiene que avisarte y pedirte tu consentimiento antes de hacerlo.
Por ejemplo, en mi blog cuando se envía un mensaje a través del formulario de contacto, el mensaje se envía usando el servicio de email de mi hosting, que es Raiola Networks.
Pues en ese formulario, además de informar al usuario de para qué necesito sus datos personales, le explico que también los tendrá mi hosting Raiola Networks y que ellos también cumplen con el RGPD. Y ese formulario van con una casilla para que me dé su consentimiento explícito de que lo acepta.
No. El tema de las cookies es solo una parte para cumplir con el RGPD al completo. Podrías estar cumpliendo lo de las cookies y tener mal tu política de privacidad o los formularios web, por ejemplo.
👉 Échale un vistazo a este otro apartado sobre cómo cumplir el RGPD.
🔹 ¿Dónde conseguir plantillas de textos legales para el RGPD?
Personalmente recomiendo las plantillas RGPD que traen los kits legales de Marina Brocca, que es la experta en RGPD que me ayudó a adaptar mi blog al reglamento, y por eso soy afiliado de sus kits.
Hay 4 kits distintos a elegir según el tipo de web que tengas, y luego lleva una Guía con la que te va indicando lo que debes hacer (y cómo hacerlo) paso a paso según tu caso concreto, tiene todas las plantillas que necesitas, textos legales que puedes necesitar, etc. 👌
Es de lo mejorcito que hay (y de lo más barato). Como digo siempre, por menos de 100€ te evitas denuncias y multas de miles de euros.
🔹 ¿Puedo usar los mismos documentos legales para varias webs de la misma empresa?
Si las webs recogen datos personales para distintas cosas (quizá cada una envía emails comerciales para distintos productos, hablan de temas distintos, etc.) entonces los documentos legales (política de privacidad, aviso legal, etc.) tienen que ajustarse a cada web para informar al usuario y tener su consentimiento específico de cada web aunque sea la misma empresa.
Por eso hay que tener mucho cuidado con las plantillas gratuitas que se ofrecen en algunos sitios para usarlas en cualquier web, porque lo importante es la adaptación de esas plantillas a cada web.
En el caso por ejemplo de los kits legales que recomiendo de Marina Brocca, ella tiene un kit distinto en función del tipo de web (o negocio), y luego dentro de cada kit va explicando qué documento legales y qué párrafos o textos concretos hacen falta según tu caso concreto.
Así podrías usar el mismo kit legal (con sus plantillas RGPD) en las webs que sean del mismo tipo pero adaptándolo a cada web en concreto.
🔹 ¿Dónde deben ir los textos legales?
Los textos de aviso legal, política de privacidad, política de cookies y términos de venta o contratación (este solo si lo necesitas) deberían ir en páginas distintas de tu web o quizá en la misma página pero muy bien diferenciados (que el usuario lo tenga claro).
Y los enlaces a estás páginas deberían ir en el footer o pie de tu página web o blog (al final del todo).
Para el resto de textos (los de información en formularios, el del aviso de cookies, la firma de los emails, etc.) mejor échale un vistazo a este otro apartado sobre cómo cumplir el RGPD porque ahí pongo ejemplos de dónde se ponen.
Sí. Según el RGPD y el ePrivacy (otra ley europea más conocida como «la ley de cookies») tu sitio web o blog tiene que informar sobre cada cookie que se usa. Sobre todo a la hora de pedir al usuario que las acepte o las rechace.
Según el aviso de cookies que uses puedes ser más o menos detallado, pero en cualquier caso lo mejor siempre es enlazar a la política de cookies para explicárselo mejor ahí al usuario.
En mi caso, la herramienta de Cookiebot me lo pone muy fácil porque ella sola rastrea las cookies y se encarga luego de sacar toda su información tanto en el aviso de cookies como en la política de cookies.
Pero si no, lo más fácil es ver las cookies que instala tu web navegando por ella y luego verlo en tu navegador web.
– fuente: Sobre las cookies en RGPD y ePrivacy
– fuente: El RGPD y las cookies
🔹 ¿Cómo hacer que la RGPD no interfiera en tus métricas?
Con el nuevo Modo Consentimiento de Google (que está en fase beta o de «pruebas») para adaptarse al RGPD, las cookies por ejemplo de Google Analytics y Google Ads recogen datos personales según el consentimiento que haya dado el usuario.
Es decir, que si activas esta nueva opción de Google, te instalará por ejemplo las cookies de Google Analytics pero solo recogerá datos personales si aceptas que lo haga. Si no lo aceptas, recogerá datos de estadísticas pero solo los que no te puedan identificar (para cumplir con el RGPD).
👀 Ojo con esto porque efectivamente puede ser un jaleo luego en los datos que veas en Google Analytics.
Cuando el usuario rechaza que recoja sus datos personales (como su IP), si por ejemplo ese usuario visita varias páginas de la misma web, Google Analytics contará que son usuarios distintos. 😲
Mi consejo personal es que por ahora no uses el Consent Mode de Google si no controlas de analítica y de Google Analytics porque te puede «romper» las estadísticas. Además todavía está en fase de «pruebas».
🔹 ¿Cómo denunciar a quien incumple el RGPD?
Antes de nada, asegúrate de que efectivamente se está incumpliendo el RGPD, contacta con la persona responsable del sitio para intentar solucionarlo (ejerciendo tus derechos) y guárdalo de alguna forma (captura de pantalla de la web donde contactas, el email con la fecha de envío, etc.) porque se te pedirá luego en la denuncia.
Según la AEPD, si no te ha hecho caso en el plazo de 1 mes (o 2 meses más si es un caso muy complejo o tiene muchas solicitudes) o la respuesta no soluciona nada, entonces sí, haz la reclamación.
1) Lo primero es saber quién es la Autoridad encargada de la Protección de Datos en tu país (puedes buscarla aquí), que por ejemplo en España es la AEPD.
2) Busca el formulario para enviar la reclamación. Por ejemplo, en la AEPD tienen este apartado para elegir el trámite o tipo de reclamación según lo que esté incumpliendo el sitio web.
Los trámites más comunes para temas de RGPD son:
- Canal prioritario de retirada de contenidos sensibles: para pedir la retirada de contenido sensible (sexual, violento, etc.).
- Publicidad y comunicación comercial: si por ejemplo te envían emails comerciales sin tu consentimiento y no te hacen caso al pedir que dejen de hacerlo.
- Publicación de datos en internet: si por ejemplo has pedido que quiten datos personales tuyos de alguna página web o red social y no te hacen caso.
- Otros: para el resto de casos.
Por ejemplo, puedes elegir la opción de Otros para denunciar una web que te instale cookies de terceros y recoja datos personales sin tu permiso. Y en este caso la AEPD te deja enviar la reclamación vía online (con certificado electrónico) o enviando el formulario en papel.
3) Rellena el formulario siguiendo todos los pasos: con tus datos, los del sitio que denuncias, explica qué está incumpliendo, etc.
Este sería un ejemplo para reclamar por el tema de las cookies.
Debajo tendrás el campo Descripción de los hechos donde es importante que expliques todo con lujo de detalle e incluso hacer referencia a las pruebas (siempre que sea posible tenerlas) que podrás adjuntar en el siguiente paso.
Y en el siguiente paso recuerda que además de estas pruebas (capturas de pantalla, documentos, emails, lo que sea), tendrás que adjuntar también las pruebas de que primero has intentado solucionarlo con el responsable del sitio.
4) Por último, solo tienes que confirmar la reclamación, y te darán una especie de justificante con el número de referencia de tu reclamación (también podrás verlo desde el apartado «Mis trámites» si tienes certificado digital).
¿Y ahora qué? 🤷
Pues a partir de ahora la AEPD actúa en 2 fases:
- Abre una investigación sobre la reclamación para comprobar si se incumple el RGPD (esta fase no tiene un plazo máximo de tiempo).
- Crea un procedimiento sancionador avisándote a ti y al responsable del sitio con la resolución que hayan tomado (esta fase no puede durar más de 6 meses). Y si efectivamente el sitio lo incumple y es «avisado» o multado, podrá recurrirlo si no está de acuerdo.
Pues nada, espero que toda esta información te haya sido útil. 😊
Y si te ha quedado alguna duda sin resolver o tienes alguna más que no sale en esta página, puedes dejarla en los comentarios e intentaré resolvértela. 👇
Si señor, un curro impresionante y muy bien explicado de forma sencilla como siempre. Felicitaciones
Muchas gracias @disqus_mZE9OXlf5o:disqus !! 🙂
Impresionante esta guía y todo el trabajo de recopilación de información que has realizado, creo que con este post has hecho más pedagogía que la propia Aepd, que debería utilizar esta guía como elemento de difusión imprescindible.
Jajajaj, muchas gracias @marinabrocca:disqus !!! 😊
Hola!
Tengo una duda inmensa y me imagino que es igual para muchos en América.
Creamos contenido y tenemos páginas web que no están dirigidas a ningún ciudadano europeo, pero definitivamente NO PODEMOS certificar que ningún ciudadano europeo las visite.
Cómo puede manejarse el caso?
Es decir, nuestras páginas no están creadas para Europa, pero igual cualquier persona puede llegar a ellas por el simple hecho de estar en la web. De qué forma la ley RGPD maneja estos casos? No estamos en la obligación de cumplirla, pero cualquier ciudadano europeo pudiese exigir su derecho de forma arbitraria si así lo decidiera.
Les agradezco sus comentarios!
Buenas Enrique!
Pues en este enlace dice que tendría que cumplirla «supervisa el comportamiento de ciudadanos en la UE».
Y es verdad que aquí ponen un ejemplo en el que comentan que «Siempre que no dirija sus servicios específicamente a personas de la UE no estará sujeto a las normas del RGPD», pero claro, dependerá de casa caso y al final podría ser algo subjetivo.
Por ejemplo, una web con un dominio mexicano podría ser más claro que se enfoca a público mexicano, pero en un .com podría no estar tan claro…
Aun así, efectivamente si recibe visitas de ciudadanos europeos y recoges datos suyos, personalmente yo la cumpliría. También puedes configurar que solo a esas visitas les salga el aviso de cookies por ejemplo y al resto de ciudanos del mundo no.
En fin, de todas formas, si quieres algo más concreto, puedes contactar con Marina Brocca, la especialista que me ayudó a legalizar el blog, por si te pudiera aconsejar con más detalle Enrique.
Un saludo!
Excelente artículo Rubén, todo mascado y bien explicado
Gracias @cadabullos:disqus !! 🙂
Muy buen trabajo Rubén. eres un fenómeno.
Gracias @disqus_xrrSNAJ7B5:disqus !!