Seguro que por un lado o otro, ya estarás empezando a oír hablar del RGPD (Reglamento general de protección de datos) o GDPR (General Data protection regulation).
Pues bien, yo también ando tratando de empaparme en este tema, y por ello llevo varias semanas bastante ocupada. Ahora vengo a aportar mi granito de arena, contándoos de qué va todo esto, y recopilando toda la información que he encontrado de interés y de fuentes fiables.
Voy a empezar por traeros algo de información general sobre la legislación, gracias a la suscripción premium de eRecht24.
Si ya sabes de qué va el tema, y prefieres ir al grano, puedes pasar a la entrada sobre cómo adaptar tu web WordPress al RGPD.
Contenidos
Lo que debes saber sobre el RGPD/DSGVO si tienes una página web
El nuevo reglamento general de protección de datos (RGPD), en alemán Datenschutz Grundverordnung (DSGVO), entró en vigor el 25 de Mayo de 2018, y afecta a toda empresa y propietario o administrador de una página web.
Este reglamento incluye nuevas regulaciones en casi todas las áreas de la ley de protección de datos. Algunas son sencillas de implantar, y otras más complejas.
1 – Introducción
El RGPD/DSGVO regula el tratamiento de los datos personales a partir del 25 de mayo de 2018, de forma uniforme en toda Europa. Muchas de las regulaciones actuales de la Ley Federal Alemana de Protección de Datos (BDSG) ya no se aplican o el BDSG se revisará al mismo tiempo.
El Reglamento General de Protección de Datos estandariza la ley de protección de datos dentro de la Unión Europea, ya que las leyes de protección de datos y, por lo tanto, diferentes estándares se han aplicado hasta ahora en los distintos países. En el futuro, los empresarios pueden por lo tanto confiar en la ley de protección de datos que aplica en la mayor parte de Europa.
El Reglamento también se aplica a las empresas establecidas fuera de la UE cuando procesan datos de ciudadanos de la UE. Esto es para garantizar que incluso los servicios en la nube o las redes sociales (como los de EE. UU.) Deben cumplir con las reglas.
La DSGVO realmente afecta a CADA compañía que está activa en Internet: seguimiento de usuarios, datos de clientes, boletines o correos electrónicos publicitarios, publicidad en Facebook, su propia política de privacidad, y muchas cosas están cambiando como resultado de las nuevas regulaciones. Ahora lo explicamos en detalle:
2. Política de privacidad (Datenschutzerklärung) y Aviso legal (Impressum)
En primer lugar, cada sitio web requiere una nueva política de privacidad que cumpla con las disposiciones del DSGVO.
Para ello la política de privacidad conforme a DSGVO debe cumplir con los siguientes puntos:
- Estar escrita en lenguaje simple y comprensible.
- Si fuese necesario, una explicación en capas, partiendo de información general resumida a más detalle.
- Datos de contacto del operador del sitio.
- Oficial de protección de datos, cuando exista (esto aplica sólo a empresas con varios empleados).
- La base legal de la recopilación / procesamiento de datos respectivos (regulación legal o consentimiento) debe especificarse concretamente.
La política de privacidad debe incluir al menos los siguientes puntos según el DSGVO:
- Mención de todas las operaciones de procesamiento de datos en el sitio web.
- Cómo se realiza la gestión de datos de clientes / pedidos.
- Seguimiento, cookies, redes sociales.
- Boletín, A (D) V.
- Duración del almacenamiento, periodos para la eliminación de los datos.
- Derechos de información, modificación, cancelación, oposición.
- Derecho a la transmisión y transferencia de datos
No se puede declarar el consentimiento de las condiciones dentro de la Política de Privacidad.
¡Atención! Obligación de borrado de datos según el Art. 17 DSGVO
Los datos deben ser eliminados si:
• Cuando el propósito para el que se solicitaron ha desaparecido.
• En caso de que el consentimiento haya sido revocado (por ejemplo, al darse de baja del boletín informativo),
• Si el usuario lo solicita (realiza una solicitud de «eliminar sus datos») y no entra en conflicto con los requisitos legales de almacenamiento (impuestos y contabilidad).
En la página de Aviso legal (Impressum) no son necesarios cambios. Sin embargo, actualmente se está discutiendo la necesidad de crear un formulario de contacto especial para las solicitudes de información, rectificación y cancelación, que debe integrarse en la estructura general del menú (desde la política de privacidad y el aviso legal (Impressum).
Puedes contratar un servicio profesional que incluye todos los plugins necesarios así como la generación y actualización de las páginas legales en Lawwwing (Enlace de afiliado).
3. Registro de actividades (anteriormente: directorio de procedimientos)
Necesita un registro de actividades si emplea a más de 250 personas y si procesa categorías especiales de datos.
La obligación también se aplica a las empresas con menos de 250 empleados, si el procesamiento es «no solo ocasionalmente». Sin embargo, aún no se ha aclarado finalmente qué significa exactamente. Hasta que las condiciones hayan sido finalmente aclaradas, se recomienda crear dicho directorio en caso de duda.
¿Qué contenidos deben incluirse en este fichero?
- Información de la persona responsable.
- Nombre y datos de contacto de la persona responsable, su representante y del oficial de protección de datos si hubiera.
- Propósitos del procesamiento.
- Categorías de datos y datos personales.
- Categorías de destinatarios.
- Transferencias de datos personales a un tercer país.
- Plazos para la eliminación de los datos.
- Descripción de las medidas técnicas y organizativas.
- Información del procesador.
- Nombre y datos de contacto del procesador y la persona responsable, sus representantes y el oficial de protección de datos.
- Categorías de procesamiento (en caso del procesador).
- Transferencias de datos personales a un tercer país (en caso del procesador).
Los ejemplos y la estructura de dicho directorio de procesamiento se pueden encontrar, p. en Bitkom.
4. Cookies y seguimiento
Actualmente no hay cambios con respecto a las cookies y el seguimiento de usuarios. Las cookies estarán específicamente reguladas por el Reglamento de privacidad electrónica (ePrivacy Regulation, ePV). Este vendrá probablemente como pronto en 2019.
Las buenas noticias: Google Analytics está «permitido» con la entrada en vigor del DSGVO igual que antes, siempre que se cumplan las siguientes condiciones:
- Deberás aceptar la Adenda sobre tratamiento de datos con Google – Puedes leer aquí sobre cómo realizar esto.
- Habilitar la anonimización de IP.
- Ofrecer opciones para desactivarlo tanto para escritorio como en el dispositivo móvil.
Asegúrate de completar la Adenda sobre tratamiento de datos compatible con DSGVO con Google a partir del 25 de mayo de 2018.
Para otras herramientas, como El píxel de Facebook actualmente no puede hacer una declaración precisa.
Sin embargo, es probable que la situación legal se vuelva más complicada.
5. Boletines informativos y consentimientos
Si los usuarios ya se habían suscrito al boletín por medio de una doble confirmación (double-opt in), su consentimiento, continuará aplicándose.
A excepción de los siguientes casos:
- Si se han producido ambigüedades en los antiguos consentimientos – Kopplungsverbot – Es decir, los antigüos consentimientos no fueron del todo claros, conseguidos mediante engaños o condiciones poco claras.
- Consentimiento de menores (Ver punto 9)
¿Qué hay de las nuevas campañas de marketing o sorteos?
Si no existe un permiso legal para almacenar / transferir datos, siempre se requiere el consentimiento.
También bajo el DSGVO se debe observar el principio de doble aceptación para poder demostrar el consentimiento en caso de duda. El consentimiento debe estar documentado electrónicamente en cada caso.
El consentimiento debe hacerse «voluntariamente»: Prohibición de acoplamiento genuino en el Art. 7 Abs.4 DSGVO.
Como regla general: no hay datos en contra del contenido (e-books, competiciones, listas de verificación, por ejemplo) y no hay un enlace entre la entrega del boletín informativo y la conclusión de un contrato.
6. Oficial de protección de datos
Las empresas en las que de normal participan al menos 10 personas en el tratamiento de datos personales o que están obligadas a realizar una evaluación de impacto de protección de datos de conformidad con el artículo 35 del DSGVO (para más detalles ver el punto 9 más abajo) deben designar un oficial de protección de datos.
Los conflictos de intereses
No debe haber conflictos de intereses al nombrar al oficial de protección de datos. Por lo tanto, un miembro de la junta, un director gerente o el propietario de la empresa no puede ser el oficial de protección de datos. Estas personas no pueden mediar en caso de conflictos entre los intereses de la compañía y las regulaciones de protección de datos.
También es posible designar a un oficial de protección de datos para evitar conflictos.
Cualificaciones del Oficial de Protección de Datos
El oficial de protección de datos debe ser confiable. La experiencia legal y técnica también es esencial para el puesto de Oficial de Protección de Datos. Se ofrecen formación/ seminarios que incluyen exámenes en todo el país para adquirir las calificaciones adecuadas, en Alemania por ejemplo en el TÜV.
7. Datos de empleados
La DSGVO también introduce nuevas regulaciones para la protección de datos de los empleados. Las nuevas regulaciones contienen muchos deberes y obligaciones que los empleadores deben cumplir en el futuro.
Solo se deberán obtener aquellos datos que sean «necesarios».
Los datos de los empleados sólo deben procesarse, para decidir sobre la contratación de un solicitante o para llevarla a cabo, durante el desempeño de su empleo o para dar por terminada una relación laboral.
También se permite el procesamiento si es necesario para el cumplimiento de los derechos y obligaciones legales, un convenio colectivo o una empresa o acuerdo de servicio o con fines de enjuiciamiento. Se determinará para cada caso específico los datos requeridos.
Obtener consentimiento
Cualquiera que desee evitar las incertidumbres legales que rodean a cuáles son los datos «necesarios» puede obtener el consentimiento voluntario de sus empleados. Sin embargo, en caso de disputa, el empleador debe demostrar que el presunto consentimiento ha sido voluntario.
El consentimiento efectivo debe cumplir ciertos criterios formales. Debe realizarse por escrito, y firmarse de forma voluntaria. Sin embargo, como esto no siempre es práctico, se puede obtener el consentimiento electrónico en circunstancias especiales. Además, el empleado debe ser informado apropiadamente de que el consentimiento es revocable en cualquier momento. Finalmente, el empleador debe crear ciertas condiciones para la revocación.
Un empleador debe ser capaz de demostrar el cumplimiento de las obligaciones anteriores en caso de duda (requisitos de documentación). Además, los empleadores enfrentarán obligaciones de información más estrictas en caso de violaciones de datos y numerosas otras obligaciones (como la eliminación).
En vista de estas obligaciones, los empleadores deberían, por lo tanto, revisar exhaustivamente sus procesos internos y hacer que se ajusten si es necesario (gestión del cumplimiento).
8. Procesamiento de pedido (de datos)
Si la recopilación y el procesamiento de datos personales se realiza a través de una empresa «externa», esto debe ser regulado por contrato, como en la ley anterior.
Ejemplos
- Agencia que lleva a cabo actividades publicitarias.
- Proveedor de boletín-newsletter externo.
- Alojamiento web.
- Contratos de mantenimiento externo.
¿Qué cambia en el contenido de los contratos de Adenda sobre tratamiento de datos?
Pocos cambios de contenido nuevos:
- El procesador debe u. mantener una lista de procedimientos.
- El procesador debe registrar las instrucciones de la persona responsable.
- No es necesaria una forma escrita de contratos
9. Protección de datos de menores
Para los adolescentes menores de 16 años, los padres deben dar su consentimiento. Sin embargo, esto solo se aplica a los casos en que la DSGVO requiere consentimiento (por ejemplo, para publicidad) y en la práctica solo cuando se trata de ofertas que están dirigidas directamente a niños y adolescentes.
No hay requisitos específicos para ofertas mixtas (para adultos y adolescentes).
10. Evaluación de impacto relativa a la protección de datos
En ciertos casos, está obligado a evaluar las consecuencias del procesamiento de datos y registrar esto en la denominada evaluación de impacto de protección de datos conforme al Art. 35 DSGVO. En principio, un llamado DSFA (del alemán Datenschutz-Folgenabschätzung) debe llevarse a cabo:
«Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas».
Esto es, por ejemplo en los siguientes casos:
• Procesamiento de datos de salud, religión, sexualidad
• secretos comerciales
• perfil / puntuación
• Actos punibles
• u.vm.
Cuándo y cómo se debe llevar a cabo dicha evaluación de impacto de la privacidad en detalle (en alemán) en el extenso Whitepaper del Foro Privatfreiheit.
11. Derecho a inspeccionar y obligación de informar
En general, los interesados tienen derecho a recibir información sobre sus datos personales (Art. 15 DSGVO).
Forma de solicitud:
- Por escrito.
- Electrónicamente (correo electrónico).
- Verbalmente a demanda.
Fecha límite para recibir información: Inmediatamente, pero a más tardar 1 mes después de la recepción de la solicitud.
¿Cuándo debe informar a los interesados sobre las infracciones de datos y las autoridades de supervisión?
Aquí se aplican requisitos más estrictos ahora. Conforme al Art. 33 DSGVO, las violaciones de datos deben ser enviadas a las autoridades de supervisión de inmediato (dentro de las 72 horas, si es posible) por medio de documentación completa.
Los detalles sobre el contenido están regulados por el Art. 33 (5) DSGVO
(alemán) https://dejure.org/gesetze/DSGVO/33.html
(español, Artículo 33 en página 52) https://www.boe.es/doue/2016/119/L00001-00088.pdf
12. Multas y advertencias
¡Se pueden recibir amonestaciones por las violaciones de la protección de datos!
Para las violaciones amenazan advertencias y procedimientos legales, porque:
- ¡La ley de protección de datos tiene relevancia para las leyes de competencia (desleal) – Wettbewerbsrecht!
- ¡Las violaciones en materia de protección de datos también pueden ser amonestadas de acuerdo con el DSGVO!
Multas
La DSGVO prevé multas de hasta 20 millones de euros o el 4% de las ventas mundiales del año anterior.
Hasta el momento, las autoridades de protección de datos rara vez han agotado el límite superior de multas e infracciones permanentes.
Pero eso probablemente cambie. Las altas multas son un componente central del DSGVO.
Más importante aún, tome en serio las solicitudes o quejas de las autoridades de protección de datos.
¿Qué debes hacer entonces concretamente para adaptarte al DSGVO?
¿Sabes que tienes que lidiar con cuestiones como privacidad, impresión, derechos de imagen o Facebook y otras redes sociales?
¿No tienes tiempo para investigar todos los requisitos legales complicados tu mismo? ¿No quieres o no puedes pagar a un abogado costoso por cada control de sitio web? ¿Necesita respuestas claras, soluciones comprensibles y herramientas prácticas en lugar de más preguntas?
Esto está disponible en DSGVO Special en eRecht24-Premium:
1. Guía de práctica DSGVO
Hemos preparado una guía práctica para tratar las preguntas básicas más comunes sobre el DSGVO/GDPR.
2. Seminarios web para DSGVO
Los abogados de la firma de abogados Siebert Goldberg explican en seminarios web exclusivos enfoques prácticos para el manejo legalmente conforme del DSGVO.
3. Generador de privacidad DSVGO
El nuevo generador profesional de Política de privacidad –Datenschutzgenerator– ya está disponible. Con él puede generar una política de privacidad conforme al DSGVO en minutos.
4. Preguntas frecuentes de los operadores de sitios web
Hemos recopilado, ordenado y respondido las más de 50 preguntas comunes que los empresarios tienen sobre el DSGVO.
5. Sus preguntas sobre el DSGVO
Haga sus preguntas adicionales sobre el DSGVO como parte de la consulta inicial. Estas serán respondidas por el abogado Siebert y su equipo.
6. Revisión DSGVO-Check por parte de abogados con descuento de 100 euros
El bufete de abogados Siebert Goldberg ofrece a todos los miembros premium una auditoría exhaustiva de las páginas legales a un precio fijo. Todos los usuarios de eRecht24 Premium recibirán un descuento de 100 euros.
7. Otros puntos destacados
En eRecht24 Premium, no solo encontrará respuestas al DSGVO, sino también numerosas herramientas, formación en vídeo, seminarios web en vivo, plantillas de contratos y listas de verificación para protección de datos, derechos de imagen y derechos de autor, marketing de boletines o Facebook & Co.
RGDP en España
Si estás en España, aunque como se comentaba básicamente es lo mismo, puedes obtener información en español en la página de la Asociación española de Protección de datos, en este enlace.
¿Necesitas ayuda poniendo al día tu página?
Parte de mis servicios integrales en el área de creación de páginas web es, por supuesto, también el apoyo en la adaptación de tu web a la normativa de protección de datos conforme con el RGPD/DSGVO.
Ponte en contacto conmigo para más información.
Puedes contratar un servicio profesional que incluye todos los plugins necesarios así como la generación y actualización de las páginas legales en Lawwwing (Enlace de afiliado).
Soy Taisa
Informática especializada en diseño web, bloguera, emprendedora, madre de dos niños… y me encanta la tecnología.
Desde hace varios años me dedico a impulsar a emprendedoras y blogueras que desean aumentar la visibilidad y los ingresos de sus negocios.
Por medio del diseño web, consultoría técnica y formación, optimizaremos juntas tu web y le sacaremos todo el partido, para que tu negocio suba de nivel y se convierta en un proyecto rentable y escalable.