Seguro que por un lado o otro, ya estarás empezando a oír hablar del RGPD (Reglamento general de protección de datos) o GDPR (General Data protection regulation).

Pues bien, yo también ando tratando de empaparme en este tema, y por ello llevo varias semanas bastante ocupada. Ahora vengo a aportar mi granito de arena, contándoos de qué va todo esto, y recopilando toda la información que he encontrado de interés y de fuentes fiables.

Voy a empezar por traeros algo de información general sobre la legislación, gracias a la suscripción premium de eRecht24.

El generador de páginas legales E-recht24

Ya desde el principio de montar aquí en Alemania la primera versión mi esta página web, me topé con esta página tan práctica. Ofrecen información, y un generador básico gratuito para las páginas legales alemanas: Impressum, Datenschutzt und Cookies.

erecht24-siegel-agenturpartner-blau

Ahora, con todo este embrollo de cambio legislativo, me decidí a suscribirme.

Como miembro con suscripción premium para agencias, dispongo entre otras cosas del generador avanzado de páginas legales con algunas opciones adicionales, un par de plugins “seguros”, versión en inglés y además puedo ofrecerlos a mis clientes. Y, lo que os traigo en esta ocasión, también nos facilitan textos informativos.

Os dejo mi enlace de afiliado de e-recht24 por si os interesa y queréis ver qué tiene. No supone ningún coste adicional si te decides a contratar por tu cuenta, y yo me llevaría una comisión por haberte recomendado.

Cuenta Premium para Agencias de e-recht24 (Enlace afiliado).

Entre toda la información que ofrecen, a los miembros registrados como “Agencia”, nos facilitan esta información sobre el cambio legislativo para difundirla (y claro está, promocionar ellos su servicio, y nosotros los diseñadores y desarrolladores de páginas web, los nuestros).

 

Lo que debes saber sobre el RGPD/DSGVO si tienes una página web

El nuevo reglamento general de protección de datos (RGPD), en alemán Datenschutz grundversorgung (DSGVO), entrará en vigor el 25 de Mayo, y afecta a toda empresa y propietario o administrador de una página web.

Este reglamento incluye nuevas regulaciones en casi todas las áreas de la ley de protección de datos. Algunas son sencillas de implantar, y otras más complejas.

El paquete Especial sobre la DSGVO, que como agencia miembro de eRecht24 ponemos a su disposición en colaboración con  eRecht24 Premium (enlace afiliado), te ayudará a obtener una visión general para cumplir los requisitos de la DSGVO y te muestra cómo implementarlos rápidamente en tu sitio web.

Por supuesto, también puedo ayudarte a implantar los cambios para adecuar tu página al DSGVO. Ponte en contacto conmigo y lo hablamos.

 

1 – Introducción

La DSGVO regula el tratamiento de los datos personales a partir del 25 de mayo de 2018, de forma uniforme en toda Europa. Muchas de las regulaciones actuales de la Ley Federal Alemana de Protección de Datos (BDSG) ya no se aplican o el BDSG se revisará al mismo tiempo.

El Reglamento General de Protección de Datos estandariza la ley de protección de datos dentro de la Unión Europea, ya que las leyes de protección de datos y, por lo tanto, diferentes estándares se han aplicado hasta ahora en los distintos países. En el futuro, los empresarios pueden por lo tanto confiar en la ley de protección de datos que aplica en la mayor parte de Europa.

El Reglamento también se aplica a las empresas establecidas fuera de la UE cuando procesan datos de ciudadanos de la UE. Esto es para garantizar que incluso los servicios en la nube o las redes sociales (como los de EE. UU.) Deben cumplir con las reglas.

La DSGVO realmente afecta a CADA compañía que está activa en Internet: seguimiento de usuarios, datos de clientes, boletines o correos electrónicos publicitarios, publicidad en Facebook, su propia política de privacidad, y muchas cosas están cambiando como resultado de las nuevas regulaciones. Ahora lo explicamos en detalle:

 

 2. Política de privacidad (Datenschutzerklärung) y Aviso legal (Impressum)

En primer lugar, cada sitio web requiere una nueva política de privacidad que cumpla con las disposiciones del DSGVO.

Para ello la política de privacidad conforme a DSGVO debe cumplir con los siguientes puntos:

  • Estar escrita en lenguaje simple y comprensible.
  • Si fuese necesario, una explicación en capas, partiendo de información general resumida a más detalle.
  • Datos de contacto del operador del sitio.
  • Oficial de protección de datos, cuando exista (esto aplica sólo a empresas con varios empleados).
  • La base legal de la recopilación / procesamiento de datos respectivos (regulación legal o consentimiento) debe especificarse concretamente.

La política de privacidad debe incluir al menos los siguientes puntos según el DSGVO:

  • Mención de todas las operaciones de procesamiento de datos en el sitio web.
  • Cómo se realiza la gestión de datos de clientes / pedidos.
  • Seguimiento, cookies, redes sociales.
  • Boletín, A (D) V.
  • Duración del almacenamiento, periodos para la eliminación de los datos.
  • Derechos de información, modificación, cancelación, oposición.
  • Derecho a la transmisión y transferencia de datos

No se puede declarar el consentimiento de las condiciones dentro de la Política de Privacidad.

¡Atención! Obligación de borrado de datos según el Art. 17 DSGVO

Los datos deben ser eliminados si:

• Cuando el propósito para el que se solicitaron ha desaparecido.
• En caso de que el consentimiento haya sido revocado (por ejemplo, al darse de baja del boletín informativo),
• Si el usuario lo solicita (realiza una solicitud de “eliminar sus datos”) y no entra en conflicto con los requisitos legales de almacenamiento (impuestos y contabilidad).

En la página de Aviso legal (Impressum) no son necesarios cambios. Sin embargo, actualmente se está discutiendo la necesidad de crear un formulario de contacto especial para las solicitudes de información, rectificación y cancelación, que debe integrarse en la estructura general del menú (desde la política de privacidad y el aviso legal (Impressum).

Cuenta Premium para Agencias de e-recht24 (Enlace afiliado).

 

3. Registro de actividades (anteriormente: directorio de procedimientos)

Necesita un registro de actividades si emplea a más de 250 personas y si procesa categorías especiales de datos.

La obligación también se aplica a las empresas con menos de 250 empleados, si el procesamiento es “no solo ocasionalmente”. Sin embargo, aún no se ha aclarado finalmente qué significa exactamente. Hasta que las condiciones hayan sido finalmente aclaradas, se recomienda crear dicho directorio en caso de duda.

¿Qué contenidos deben incluirse en este fichero?

  • Información de la persona responsable.
  • Nombre y datos de contacto de la persona responsable, su representante y del oficial de protección de datos si hubiera.
  • Propósitos del procesamiento.
  • Categorías de datos y datos personales.
  • Categorías de destinatarios.
  • Transferencias de datos personales a un tercer país.
  • Plazos para la eliminación de los datos.
  • Descripción de las medidas técnicas y organizativas.
  • Información del procesador.
  • Nombre y datos de contacto del procesador y la persona responsable, sus representantes y el oficial de protección de datos.
  • Categorías de procesamiento (en caso del procesador).
  • Transferencias de datos personales a un tercer país (en caso del procesador).

Los ejemplos y la estructura de dicho directorio de procesamiento se pueden encontrar, p. en Bitkom.

 

4. Cookies y seguimiento

Actualmente no hay cambios con respecto a las cookies y el seguimiento de usuarios. Las cookies estarán específicamente reguladas por el Reglamento de privacidad electrónica (ePrivacy Regulation, ePV). Este vendrá probablemente como pronto en 2019.

Las buenas noticias: Google Analytics está “permitido” con la entrada en vigor del DSGVO igual que antes, siempre que se cumplan las siguientes condiciones:

  • Deberás aceptar la Adenda sobre tratamiento de datos con Google – Puedes leer aquí sobre cómo realizar esto.
  • Habilitar la anonimización de IP.
  • Ofrecer opciones para desactivarlo tanto para escritorio como en el dispositivo móvil.

Asegúrate de completar la Adenda sobre tratamiento de datos compatible con DSGVO con Google a partir del 25 de mayo de 2018.

Las instrucciones y herramientas para la implementación correcta se pueden encontrar en eRecht24 Premium.

Cuenta Premium para Agencias de e-recht24 (Enlace afiliado).

Para otras herramientas, como El píxel de Facebook actualmente no puede hacer una declaración precisa.
Sin embargo, es probable que la situación legal se vuelva más complicada.

En eRecht24 tienen un artículo sobre este tema de hace unos meses, supongo que en cuanto se tenga más información la publicarán.

 

5. Boletines informativos y consentimientos

Si los usuarios ya se habían suscrito al boletín por medio de una doble confirmación (double-opt in), su consentimiento, continuará aplicándose.

A excepción de los siguientes casos:

  • Si se han producido ambigüedades en los antiguos consentimientos – Kopplungsverbot – Es decir, los antigüos consentimientos no fueron del todo claros, conseguidos mediante engaños o condiciones poco claras.
  • Consentimiento de menores (Ver punto 9)

 

¿Qué hay de las nuevas campañas de marketing o sorteos?

Si no existe un permiso legal para almacenar / transferir datos, siempre se requiere el consentimiento.

También bajo el DSGVO se debe observar el principio de doble aceptación para poder demostrar el consentimiento en caso de duda. El consentimiento debe estar documentado electrónicamente en cada caso.

El consentimiento debe hacerse “voluntariamente”: Prohibición de acoplamiento genuino en el Art. 7 Abs.4 DSGVO.

Como regla general: no hay datos en contra del contenido (e-books, competiciones, listas de verificación, por ejemplo) y no hay un enlace entre la entrega del boletín informativo y la conclusión de un contrato.

 

6. Oficial de protección de datos

Las empresas en las que de normal participan al menos 10 personas en el tratamiento de datos personales o que están obligadas a realizar una evaluación de impacto de protección de datos de conformidad con el artículo 35 del DSGVO (para más detalles ver el punto 9 más abajo) deben designar un oficial de protección de datos.

 

Los conflictos de intereses

No debe haber conflictos de intereses al nombrar al oficial de protección de datos. Por lo tanto, un miembro de la junta, un director gerente o el propietario de la empresa no puede ser el oficial de protección de datos. Estas personas no pueden mediar en caso de conflictos entre los intereses de la compañía y las regulaciones de protección de datos.

También es posible designar a un oficial de protección de datos para evitar conflictos.

 

Cualificaciones del Oficial de Protección de Datos

El oficial de protección de datos debe ser confiable. La experiencia legal y técnica también es esencial para el puesto de Oficial de Protección de Datos. Se ofrecen formación/ seminarios que incluyen exámenes en todo el país para adquirir las calificaciones adecuadas, en Alemania por ejemplo en el TÜV.

 

7. Datos de empleados

La DSGVO también introduce nuevas regulaciones para la protección de datos de los empleados. Las nuevas regulaciones contienen muchos deberes y obligaciones que los empleadores deben cumplir en el futuro.

Solo se deberán obtener aquellos datos que sean “necesarios”.

Los datos de los empleados sólo deben procesarse, para decidir sobre la contratación de un solicitante o para llevarla a cabo, durante el desempeño de su empleo o para dar por terminada una relación laboral.

También se permite el procesamiento si es necesario para el cumplimiento de los derechos y obligaciones legales, un convenio colectivo o una empresa o acuerdo de servicio o con fines de enjuiciamiento. Se determinará para cada caso específico los datos requeridos.

 

Obtener consentimiento

Cualquiera que desee evitar las incertidumbres legales que rodean a cuáles son los datos “necesarios” puede obtener el consentimiento voluntario de sus empleados. Sin embargo, en caso de disputa, el empleador debe demostrar que el presunto consentimiento ha sido voluntario.

El consentimiento efectivo debe cumplir ciertos criterios formales. Debe realizarse por escrito, y firmarse de forma voluntaria. Sin embargo, como esto no siempre es práctico, se puede obtener el consentimiento electrónico en circunstancias especiales. Además, el empleado debe ser informado apropiadamente de que el consentimiento es revocable en cualquier momento. Finalmente, el empleador debe crear ciertas condiciones para la revocación.

Un empleador debe ser capaz de demostrar el cumplimiento de las obligaciones anteriores en caso de duda (requisitos de documentación). Además, los empleadores enfrentarán obligaciones de información más estrictas en caso de violaciones de datos y numerosas otras obligaciones (como la eliminación).

En vista de estas obligaciones, los empleadores deberían, por lo tanto, revisar exhaustivamente sus procesos internos y hacer que se ajusten si es necesario (gestión del cumplimiento).

 

8. Procesamiento de pedido (de datos)

Si la recopilación y el procesamiento de datos personales se realiza a través de una empresa “externa”, esto debe ser regulado por contrato, como en la ley anterior.

Ejemplos

  • Agencia que lleva a cabo actividades publicitarias.
  • Proveedor de boletín-newsletter externo.
  • Alojamiento web.
  • Contratos de mantenimiento externo.

¿Qué cambia en el contenido de los contratos de Adenda sobre tratamiento de datos?

Pocos cambios de contenido nuevos:

  • El procesador debe u. mantener una lista de procedimientos.
  • El procesador debe registrar las instrucciones de la persona responsable.
  • No es necesaria una forma escrita de contratos

¿Dónde obtengo muestras para mis contratos Adenda de tratamiento de datos?

Un contrato modelo en Alemán que cumple con DSGVO se puede encontrar en eRecht24 Premium:
Cuenta Premium para Agencias de e-recht24 (Enlace afiliado).

 

9. Protección de datos de menores

Para los adolescentes menores de 16 años, los padres deben dar su consentimiento. Sin embargo, esto solo se aplica a los casos en que la DSGVO requiere consentimiento (por ejemplo, para publicidad) y en la práctica solo cuando se trata de ofertas que están dirigidas directamente a niños y adolescentes.

No hay requisitos específicos para ofertas mixtas (para adultos y adolescentes).

 

10. Evaluación de impacto relativa a la protección de datos

En ciertos casos, está obligado a evaluar las consecuencias del procesamiento de datos y registrar esto en la denominada evaluación de impacto de protección de datos conforme al Art. 35 DSGVO. En principio, un llamado DSFA (del alemán Datenschutz-Folgenabschätzung) debe llevarse a cabo:

“Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”.

Esto es, por ejemplo en los siguientes casos:

• Procesamiento de datos de salud, religión, sexualidad
• secretos comerciales
• perfil / puntuación
• Actos punibles
• u.vm.

Cuándo y cómo se debe llevar a cabo dicha evaluación de impacto de la privacidad en detalle (en alemán) en el extenso Whitepaper del Foro Privatfreiheit.

 

11. Derecho a inspeccionar y obligación de informar

En general, los interesados ​​tienen derecho a recibir información sobre sus datos personales (Art. 15 DSGVO).

Forma de solicitud:

  • Por escrito.
  • Electrónicamente (correo electrónico).
  • Verbalmente a demanda.

Fecha límite para recibir información: Inmediatamente, pero a más tardar 1 mes después de la recepción de la solicitud.

 

¿Cuándo debe informar a los interesados ​​sobre las infracciones de datos y las autoridades de supervisión?

Aquí se aplican requisitos más estrictos ahora. Conforme al Art. 33 DSGVO, las violaciones de datos deben ser enviadas a las autoridades de supervisión de inmediato (dentro de las 72 horas, si es posible) por medio de documentación completa.

Los detalles sobre el contenido están regulados por el Art. 33 (5) DSGVO
(alemán) https://dejure.org/gesetze/DSGVO/33.html

(español, Artículo 33 en página 52) https://www.boe.es/doue/2016/119/L00001-00088.pdf

 

12. Multas y advertencias

¡Se pueden recibir amonestaciones por las violaciones de la protección de datos!

Para las violaciones amenazan advertencias y procedimientos legales, porque:

  • ¡La ley de protección de datos tiene relevancia para las leyes de competencia (desleal) – Wettbewerbsrecht!
  • ¡Las violaciones en materia de protección de datos también pueden ser amonestadas de acuerdo con el DSGVO!

Multas

La DSGVO prevé multas de hasta 20 millones de euros o el 4% de las ventas mundiales del año anterior.

Hasta el momento, las autoridades de protección de datos rara vez han agotado el límite superior de multas e infracciones permanentes.

Pero eso probablemente cambie. Las altas multas son un componente central del DSGVO.

 

Importante: tome en serio las solicitudes o quejas de los usuarios.
Más importante aún, tome en serio las solicitudes o quejas de las autoridades de protección de datos.

 

¿Qué debes hacer entonces concretamente para adaptarte al DSGVO?

¿Sabes que tienes que lidiar con cuestiones como privacidad, impresión, derechos de imagen o Facebook y otras redes sociales?

¿No tienes tiempo para investigar todos los requisitos legales complicados tu mismo? ¿No quieres o no puedes pagar a un abogado costoso por cada control de sitio web? ¿Necesita respuestas claras, soluciones comprensibles y herramientas prácticas en lugar de más preguntas?

Esto está disponible en DSGVO Special en eRecht24-Premium:

1. Guía de práctica DSGVO
Hemos preparado una guía práctica para tratar las preguntas básicas más comunes sobre el DSGVO/GDPR.

2. Seminarios web para DSGVO
Los abogados de la firma de abogados Siebert Goldberg explican en seminarios web exclusivos enfoques prácticos para el manejo legalmente conforme del DSGVO.

3. Generador de privacidad DSVGO
El nuevo generador profesional de Política de privacidad –Datenschutzgenerator– ya está disponible. Con él puede generar una política de privacidad conforme al DSGVO en minutos.

4. Preguntas frecuentes de los operadores de sitios web
Hemos recopilado, ordenado y respondido las más de 50 preguntas comunes que los empresarios tienen sobre el DSGVO.

5. Sus preguntas sobre el DSGVO
Haga sus preguntas adicionales sobre el DSGVO como parte de la consulta inicial. Estas serán respondidas por el abogado Siebert y su equipo.

6. Revisión DSGVO-Check por parte de abogados con descuento de 100 euros
El bufete de abogados Siebert Goldberg ofrece a todos los miembros premium una auditoría exhaustiva de las páginas legales a un precio fijo. Todos los usuarios de eRecht24 Premium recibirán un descuento de 100 euros.

7. Otros puntos destacados
En eRecht24 Premium, no solo encontrará respuestas al DSGVO, sino también numerosas herramientas, formación en vídeo, seminarios web en vivo, plantillas de contratos y listas de verificación para protección de datos, derechos de imagen y derechos de autor, marketing de boletines o Facebook & Co.

Consigue tu cuenta de eRecht24 Premium ahora y protégete de las amonestaciones del DSGVO rápida y fácilmente:

Cuenta Premium para Agencias de e-recht24 (Enlace afiliado).

 

RGDP en España

Si sin embargo, estás en España, aunque como se comentaba básicamente es lo mismo, puedes obtener información en español en la página de la Asociación española de Protección de datos, en este enlace.

 

¿Necesitas ayuda poniendo al día tu página?

Como socio de la agencia eRecht24, puedo apoyar a mis clientes en la implementación de una página de política de privacidad y de Impressum correctas de acuerdo con el nuevo reglamento (RGPD/DSGVO).

Parte de mis servicios integrales en el área de creación de páginas web es, por supuesto, también el apoyo en la integración de una política de protección de datos conforme con el RGPD/DSGVO,  con contenido práctico y certificado por abogados para la DSGVO.

Ponte en contacto conmigo para más información.