Si tienes un blog, estás obligado a cumplir la ley de protección de datos o RGPD (el Reglamento General de Protección de Datos); la normativa Europea que te indica lo que tienes que hacer si recoges datos personales de lectores o suscriptores.
Pero tranquilo, que para ayudarte a entender cómo tienes que hacerlo en tu blog ha venido Marina Brocca, que además de ser consultora de marketing legal y especialista en RGPD, es una amiga a la que quiero mucho y con la que tuve la suerte de trabajar precisamente para definir los aspectos legales de este blog. Así que…
¡Te dejo con Marina!
🤔 ¿Qué tienes que hacer en tu blog con la ley sobre Protección de Datos?
Acabas de leer el titular y no tienes muy claro si quedarte o salir corriendo a lo Forrest Gump…
Reglamento, protección de datos y web. Un tema farragoso que te seduce más bien poco, aunque sabes que tarde o temprano tendrás que enterarte de cómo te afecta y qué se supone que debes hacer a partir de ahora.
No quiero ser pretenciosa, pero posiblemente esta es la mejor oportunidad que tendrás de conocer tus principales obligaciones y que te afectan directamente, así que dame la oportunidad de explicarte en cristiano todo lo que necesitas saber y todo lo que necesitas hacer para adaptar tu blog al reglamento europeo de protección de datos.
❓ ¿Qué es el Reglamento General de Protección de Datos?
¿Es una nueva LOPD? Pues básicamente sí.
Se trata de una nueva regulación en materia de protección de datos que tiene por objetivo homogeneizar y armonizar todas las regulaciones de protección de datos de los países europeos.
En lugar de tener cada uno la suya, ahora todos los europeos contaremos con una única regulación común para todos.
🔹 ¿Te tiene que importar este reglamento si tienes un blog?
Pues debería, y mucho.
Este reglamento supone una transformación en la manera de relacionarnos con los datos personales de los demás, más comprometida, más transparente, más garantista; así que ningún blogger puede hacerse el sueco o mirar para otro lado como hasta ahora, porque el desconocimiento o la omisión de cumplimiento lo dejará completamente en evidencia frente a los usuarios de su blog.
Lo entenderás fácilmente analizando la importancia que se le ha dado hasta ahora a la protección de datos por parte de los que nos dedicamos al sector del marketing y el blogging…
Dime la verdad, ¿crees que la protección de datos es un tema prioritario para un blogger hoy en día?
La respuesta la conoces tan bien como yo… La protección de datos es realmente un tema residual para los mayores recopiladores de datos, los bloggers.
¿No te parece paradójico?
Los bloggers somos grandes recopiladores de información personal de otros.
Gran parte de nuestra actividad se centra en conseguir la mayor cantidad de leads, la mayor cantidad de seguidores, suscriptores, clientes, a quienes queremos convertir, fidelizar, lanzarles campañas, ofrecerles infoproductos…
Y todas estas son actividades dirigidas a personas que tienen derechos sobre la información que les concierne y que NO nos molestamos en conocer.
Pues lo que pasa con este reglamento europeo de protección de datos es que ya no tendremos la opción de la indiferencia, porque serán los propios usuarios los que establezcan la criba. Este reglamento deja tan claro cómo se debe cumplir a la hora de recopilar información que, no hacerlo, será visible nada más entrar en un blog.
Este es el cambio sustancial que introduce este reglamento y de ahí mi insistencia en el asunto.
Antes no era tan obvio cuando no se cumplía la protección de datos; los usuarios no se molestaban en leer las políticas de privacidad y pocos blogueros se ocupaban de tener resuelto este tema.
Ahora los profesionales no tendrán «escapatoria» porque los propios usuarios verán qué blogs hace un uso seguro y responsable de sus datos y los que no.
Si tienes en cuenta que el mayor activo que tiene cualquier blog son los usuarios y suscriptores, y que un blog no vale nada sin visitas, dedicar recursos a proteger este activo es mucho más que una obligación, es puro sentido común. ¿No crees?
🔹 ¿Qué cambios tendrás que aplicar en tu blog con este reglamento?
Pues hay muchos cambios importantes, pero a modo resumen te diré que cambia fundamentalmente el enfoque de la privacidad y se le otorga al usuario más autoridad y protagonismo frente a su propia información.
Principales novedades del RGPD
- Registro de tratamiento de datos: este reglamento de protección de datos quita el requisito de notificar los ficheros a la AGencia española de Protección de Datos (AGPD) como hasta ahora y lo sustituye por un registro de las operaciones de tratamiento de datos que se realicen. Tranquilo porque la AGPD ya ha añadido una herramienta llamada Facilita RGPD para hacer ese registro. Eso sí, solo es apta para los que lleven a cabo tratamientos de escaso riesgo (la mayoría de los bloggers).
- Datos especialmente protegidos: se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
- Consentimiento expreso: a diferencia de la LOPD, el consentimiento para poder tratar datos de carácter personal ha de ser expreso, inequívoco, libre y revocable. Deberá darse mediante un acto afirmativo claro. Y sobre todo si hay una transferencia de datos internacional (como que los servidores de tu herramienta de email marketing estén alojados fuera de España). No se admite consentimiento implícito o por defecto, toca adecuar todos los formularios para legitimar este consentimiento.
- Mayores requisitos informativos: se exige informar sobre más aspectos y con mayor claridad y transparencia. Será necesario proporcionar información completa y de forma sencilla al usuario que le permita tomar decisiones en función de la información recibida. Esta información debe ser presentada por capas.
- Colaboradores con quien compartas información de carácter personal: se exige más cuidado a la hora de elegir a los proveedores o encargados de tratamiento. Cuenta solo con aquellos que se ajusten a las nuevas normas de la UE. Y si están alojados en EEUU comprueba que sean Privacy Shield, precisamente como explico en este post sobre Disqus (el sistema de comentarios).
- Nuevos derechos: aparece el derecho al olvido. También aparece el derecho a la portabilidad y el de limitación de tratamiento como novedades legislativas.
Desde un punto de vista práctico, lo más significativo para un blog es que si recoges datos a través de formularios tendrás que informar con mayor transparencia y claridad antes de pedir cualquier dato, y requerir un consentimiento expreso con lo informado, y aquí está la gran diferencia y la mayor evidencia de cumplimiento.
Cambios importantes para cumplir la RGPD en un blog
- Revisar todos los textos informativos de tu blog
- Reforzar el consentimiento
Te lo detallo a continuación:
1. Revisar todos los textos informativos de tu blog
Recuerda que este reglamento exige nuevos requerimientos informativos. Tendrás que revisar tu aviso legal, tu política de privacidad, y la Política de cookies y añadir los elementos informativos necesarios:
- La identidad de los destinatarios o las categorías de destinatarios de los datos personales.
- Qué tipo de datos se están recogiendo, utilizando o consultando, la medida en que dichos datos son o serán tratados y de las posibles consecuencias de no facilitar tales datos.
- La identidad del responsable de la gestión y si procede, del delegado de protección de datos, otra novedad que hasta ahora no existía.
- La existencia del derecho a solicitar al responsable el acceso a los datos personales que haya facilitado, su rectificación o supresión, la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
- Las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento.
- El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto también es una novedad).
- La existencia de decisiones automatizas, incluida la elaboración de perfiles para segmentación por ejemplo cuando esta elaboración tenga consecuencias jurídicas para el afectado.
El reglamento de protección de datos exige que todo acto de requerimiento de datos personales debe ir precedido por el consentimiento para que sea legal:
- Debe ser expreso: no vale el consentimiento tácito o por defecto, el «silencio», las casillas pre-marcadas o la inacción del usuario al requerir datos personales no serán legales de cara al nuevo reglamento de protección de datos
- Debe ser específico: ligado a una finalidad concreta y no genérico. Recuerda que si haces transferencia internacional de datos, debes obtener un consentimiento específico con esta finalidad.
- Debe ser verificable: debes poder acreditar que efectivamente lo has obtenido.
Así que vete olvidando de cualquier forma de captación de datos que no incluya mecanismos informativos claros y no pida el consentimiento de los usuarios…
Ya ves que este reglamento de protección de datos no se anda con chiquitas, las exigencias serán mayores para todos los que recojan, gestionen y almacenen datos personales; tu blog no podrá eludirlas si quiere seguir en pie.
🔹 ¿Qué pasará con los formularios de suscripción?
Pues los formularios de suscripción deberán transformarse porque serán «los grandes delatores». Es imprescindible que empieces ya a transformarlos si no quieres que te dejen en evidencia.
Lo primero que debes hacer es revisarlos TODOS: los de contacto, los de suscripción, los de captación, los de venta, etc. Cualquier caja de suscripción o formulario que no recoja el consentimiento del usuario de forma expresa e inequívoca, debes cambiarlo.
Por ejemplo:
❗ Los pop-ups de suscripción: tan originales y bonitos… Me sabe fatal, pero tal y como los concebimos hoy en día no podrán seguir siendo utilizados si no se cambian.
Ejemplo de formulario en Pop-Up
Entiendo que ahora mismo, te estás llevando las manos a la cabeza, porque estas cajas son la clave de la captación de leads y has dedicado muchas horas a crearlas para que sean una máquina potente de conseguir suscriptores. Pero es que este tipo de cajas ya no serían legales porque no se pide el consentimiento expreso e inequívoco del usuario con un tipo de tratamiento previamente informado.
❗ Las cajas de suscripciones en el sidebar: otro mecanismo muy usado entre los bloggers. Este tipo de cajas tampoco serán legales por la misma razón si no se cambian y se ajustan a la normativa.
Ejemplo de formulario en el SideBar
❗ Cualquier caja de suscripción tipo banner: una vez más, si no incluye por ejemplo un check box para expresar el consentimiento explícito y una cláusula informativa visible y expuesta, tampoco vale.
Ejemplo de formulario tipo Banner
En definitiva, cualquier caja de suscripción tipo Pop-Up, SideBar o Banner tiene que incluir un check box para expresar el consentimiento y una cláusula informativa visible y expuesta.
Debes introducir una primera capa informativa justo debajo de los formularios que explique los aspectos más importantes sobre el tratamiento de la información y una segunda capa que complete esa información (lo que viene siendo la política de privacidad, aviso legal…).
Un ejemplo de formulario de captación adaptado al reglamento es lógicamente el que uso en mi propio blog:
Este sería un ejemplo de información multinivel que he incorporado en todos los formularios. Como ves, se informa en una primera capa de los aspectos básicos y más relevantes, y se proporciona enlaces para ampliar esa información en una segunda capa correspondiente a la política de privacidad.
En la Guía sobre el derecho a la información (creada por la AEPD, la Autoridad Catalana y la Agencia Vasca de Protección de Datos), se muestra la información a incorporar en cada capa:
| Epígrafe | Información básica
(1ª capa resumida) |
Información adicional
(2ª capa detallada) |
|---|---|---|
| «Responsable»
(del tratamiento) |
Identidad del responsable | Datos de contacto del responsable |
| Identidad y datos de contacto del representante | ||
| Datos de contacto del delegado de Protección de Datos | ||
| «Finalidad»
(del tratamiento) |
Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles | Descripción ampliada de los fines del tratamiento |
| Plazos o criterios de conservación de los datos | ||
| Decisiones automatizadas, perfiles y lógica aplicada | ||
| «Legitimación»
(del tratamiento) |
Base jurídica del tratamiento | Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo |
| Obligación o no de facilitar datos y consecuencias de no hacerlo | ||
| «Destinatarios»
(de cesiones o transferencias) |
Previsión o no de cesiones | Destinatarios o categorías de destinatarios |
| Previsión de transferencias, o no, a terceros países | Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables | |
| «Derechos»
(de las personas interesadas) |
Referencia al ejercicio de derechos | Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento |
| Derecho a retirar el consentimiento prestado | ||
| Derecho a reclamar ante la Autoridad de Control | ||
| «Procedencia»
(de los datos) |
Fuente de los datos (cuando no proceden del interesado) | Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público |
| Categorías de datos que se traten |
Y aquí tienes otro ejemplo del blog de José Argudo donde lo diseña correctamente tanto para los formularios de suscripción como para el envío de comentarios:
Ejemplo de formularios adaptados al RGPD en el blog de José Argudo
También puedes ver cómo lo ha adaptado ya Rubén en los formularios de este blog. 😃
🎯 ¿Habrá un impacto negativo del RGPD en las conversiones?
Ya imaginarás que no soy adivina pero creo que habrá un periodo de transición, de cambio de mentalidad en los usuarios, que serán los que determinen el impacto real de este cambio.
Casi todos los marketeros son muy reacios a los check box y a todo proceso que signifique alargar los procesos de captación y conversión, algo perfectamente comprensible, pero debemos asumir que estamos ante unos nuevos paradigmas en lo que respecta a la forma en la que nos relacionamos con la información de los demás.
Estos paradigmas implican mayor transparencia y mayor compromiso, dos condiciones que no deberían espantar a los usuarios, más bien todo lo contrario.
Con este reglamento de protección de datos no se trata de ponerle obstáculos a los usuarios sino de reforzar sus derechos y mostrar respeto por los mismos.
Como grandes gestores de datos, debemos asumir que los datos son el petróleo en una sociedad digital y debemos profesionalizar esta gestión en todo su ciclo de vida, ofreciendo también mayores garantías.
Creo que todo blogger debe subirse al tren de la legalidad por puro instinto de supervivencia.
Podemos hablar del incremento de sanciones que plantea este reglamento, de los órganos de control, de la nueva capacidad de usuarios afectados de requerir indemnizaciones, de los problemas de imagen y de reputación, etc. Pero si ya me conoces sabrás que siempre me he desmarcado del discurso del lobo; sencillamente, lo detesto.
Soy consciente de que el miedo es el principal argumento de muchos compañeros y la principal motivación de muchos profesionales y empresas para realizar su conversión legal. Pero yo propongo otras motivaciones ligadas a la profesionalización, al compromiso, a la responsabilidad, a la cultura del respeto a la información de otros.
Ok, ya sabes todo lo que tienes que hacer y por qué.
Ahora la pregunta es…
✔️ ¿Cómo puedo cumplir con todas estas exigencias?
Pues precisamente esa fue la pregunta que me hice, cómo podía ayudar a otros bloggers a cumplir con estos requisitos de manera sencilla y sin hacer tiritar los bolsillos de nadie.
Piensa que yo también soy bloguera y desarrollo un negocio online como tú, buscando su monetización y aportando el máximo valor.
Así que partiendo de esa base y con el conocimiento legal que tengo en esta especialidad, he desarrollado una solución a medida según el tipo de negocio que tengas. Son mis Kits Legales (lowcost), que permiten cumplir con todos los requerimientos legales que necesites de la manera más sencilla y óptima.
Al menos, esta es mi solución. 😊
Y ya solo me queda darte las gracias por leer este artículo sobre el RGPD, y te pido por favor que lo compartas porque te puedo asegurar que cuantos más bloggers y lectores nos informemos en estos temas, más seguros estaremos.
Oye, y si tienes cualquier pregunta sobre el tema no dudes en dejar un comentario, ¿eh? 😃