Puede que tu blog sea ilegal y no lo sepas: cómo cumplir con el RGPD

¿Cómo voy a tener un blog ilegal si no hago nada raro?

Como editor, tu blog es tu carta de presentación, es la forma en que tienen los anunciantes de valorar tu trabajo, tu profesionalidad y analizar si es un medio apto por el que apostar o no.

Es posible que ni siquiera hayas pensado sobre la legalidad de tu blog o sobre su nivel de cumplimiento.

Es posible que tampoco hayas considerado cómo puede impactar la ilegalidad en la reputación de tu blog, en cómo se percibe desde fuera un blog infractor y cómo puede repercutir en su engagement. 

No te culpo.

La legalidad en el mundo blogging es un tema casi marginal del que poco se habla y poco se escribe, excepto yo que es de lo único que hablo. El caso es que son esos temas en los que preferimos no pensar, son engorrosos y los vamos dejando estar, pero esa no es una buena decisión, de hecho, es una decisión de alto riesgo.

Afortunadamente, en Publisuites, hoy vas a descubrir cómo tener un blog 100% legal que genere mayor confianza en tu audiencia, en los anunciantes y te libre de disgustos. Además de aprender a adaptar tu blog, web o tienda online a la nueva ley RGPD.

Las leyes que todo blog debe cumplir

Solemos relacionar la ilegalidad en una web con cuestiones delictivas, estafas, fraudes, contenido inadecuado, pero lo cierto, es que la legalidad de un blog o una web dependen también del cumplimiento efectivo de las leyes que regulan el tratamiento de información personal y el comercio electrónico, concretamente:

• La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI).  Esta ley regula las transacciones económicas mediante medios electrónicos, incluyendo los correos electrónicos comerciales.
• El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) . Esta ley es de cumplimiento obligado desde mayo de 2018 y afecta a todos los que traten datos de ciudadanos europeos, independientemente de su localización.
• La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) es la nueva LOPD que adapta el derecho español al Reglamento General de Protección de Datos (RGPD)

El no cumplimiento de estas normativas que afectan de lleno a todos los blogs o webs, implica estar necesariamente en modo infractor, enfrentarse a toda la maquinaria sancionadora y la pérdida de credibilidad que puede ocasionar un expediente sancionador.

También implica proyectar una imagen poco empática con los derechos de nuestros usuarios, anunciantes, patrocinadores, medios y audiencia en general, omitir las leyes que les protegen no parece ser una buena declaración de principios ¿no te parece?

Lo que tú y yo sabemos con certeza es que se tarda años en construir una reputación sólida y minutos en perderla.

¿Qué pasa si no adaptas tu web a legalidad?

Erróneamente creemos que lo único que cuenta es la audiencia y que los números hablan por sí solos y son suficientes para respaldar nuestra credibilidad, pero ciertamente, es una creencia arriesgada por 2 razones:

Primero: porque a mayor audiencia, mayor exposición y mayor riesgo.

Segundo: porque con el RGPD y la nueva LOPD, las evidencias de cumplimiento o incumplimiento son mucho más claras y sencillas de identificar.

Al tratarse de leyes de obligado cumplimiento, tener un blog que no esté adaptado adecuadamente implica riesgos que no deberías asumir:

Riesgo sancionador: las sanciones por incumplimiento que establece el RGPD pueden llegar hasta los 20 millones de euros o el 4% del volumen de negocio global anual del ejercicio financiero anterior de la empresa infractora, lógicamente, siempre serán proporcionadas al tipo de infracción y de negocio.

En este post te explico con detalle porqué y cómo pueden sancionarte si tienes un blog, y te muestro, además, ejemplos reales de webs que han sido sancionadas por incumplimiento del RGPD.

Es evidente que, tratándose de un blog, las sanciones no serán de millones de euros, pero 3.000 € para un blog o una web como la mía es muchísimo dinero y dudo que haya alguien que le compense asumir ese riesgo.

Riesgo reputacional: como te explicaba, el RGPD hace muy visible el incumplimiento en un blog, hay muchos elementos que pueden delatar a un blog como infractor, sus formularios, su footer, sus cookies, sin necesidad de ser un lince o realizar una auditoria legal. 

Sin duda, tener un blog ilegal implica un alto riesgo reputacional.

Riesgo competitivo: ciertamente, si la legalidad es tan visible y detectable en un blog, estar al margen de la legalidad resta a cualquier blog una importante ventaja competitiva y un enorme factor diferenciador.

¿Qué blogs deben cumplir el RGPD?

Ojalá todas las respuestas fueran tan fáciles como esta. En párrafo corto, deben cumplir con las obligaciones que establece el RGPD aquellos blogs o webs que:

• Traten datos personales de ciudadanos europeos: es decir, independientemente de dónde residas o dónde tengas alojado tu blog, si tratas datos de usuarios, suscriptores o clientes europeos, debes adaptar tu blog al RGPD.
• Tengan una finalidad comercial: esto no significa que sólo tengan que cumplir los que monetizan de forma directa mediante publicidad, esquema de afiliados o ventas, desde el momento que un blog o una web persiguen una finalidad comercial, aunque sólo sea dar a conocer tu negocio, debes cumplir con el RGPD.

Las únicas excepciones serían los blogs estrictamente personales y domésticos.

Aspectos claves en la legalidad de tu blog

En lo que respecta a un blog o una web, hay cuatro principios fundamentales:

1. Transparencia: se trata de ofrecer información clara, sencilla, comprensible, accesible a todos los usuarios y visitantes de nuestro blog y de forma previa al tratamiento, sobre todos los aspectos que afectan al tratamiento de la información personal.
2. Consentimiento: es la necesidad de contar con determinados permisos de estos usuarios para tratar su información de forma lícita. El consentimiento además debe ser inequívoco, expreso, libre, informado y verificable.
3. Derechos: el RGPD amplía los derechos de los ciudadanos sobre su propia información personal respecto a la antigua LOPD, debemos conocer esos derechos y tener mecanismos claros para que puedan ejercerlos de forma directa en nuestro blog.
4. Seguridad: el RGPD nos impone la necesidad de ofrecer a nuestros usuarios y suscriptores medidas de seguridad adecuadas al nivel de riesgo del tratamiento para garantizar la confidencialidad, la disponibilidad y la integridad de la información personal que tratamos en nuestro blog.

Cómo adaptar tu blog o web al RGPD y hacer visible la legalidad

Para adaptar tu blog en WordPress, Prestashop, Shopify o Magento al RGPD, es imprescindible conocer cuestiones básicas:

– Sus funcionalidades: blog, foro, directorio, membresía, e-commerce, etc., porque en función al tipo de funcionalidades de tu web o tu blog, habrá que realizar diferentes actuaciones.

– Sus mecanismos de captura: la necesidad de transparencia impone adaptar cada formulario de manera individual e informar por capas, es decir, incluir información básica y visible a pie de formulario y ampliarla en una segunda capa, en este caso, en la política de privacidad. O la política de cookies. También implica la necesidad de valorar en cada formulario si es necesario requerir o no el consentimiento expreso.

– Las herramientas que integra: todo blog utiliza muchas otras herramientas que nos permiten realizar campañas, analizar audiencia, realizar encuestas, vender productos, convertir, etc. Todas esas herramientas deben cumplir con el RGPD y permitirte cumplir, es decir, que puedas informar adecuadamente, pedir el consentimiento cuando toca y que, además, te permita acreditarlo. También te deben proporcionar un contrato de encargo de tratamiento o de procesamiento de datos.

Hoja de ruta para hacer legal tu blog

En lo que respecta a la legalidad, no hay mucho espacio para ponernos creativos y tampoco se trata solo de poner unos textos legales y unas coletillas a pie de formulario.

Así que te he traído una hoja de ruta muy concreta con los enlaces a todos los recursos y herramientas que te ayudarán a completar la adecuación de tu blog o ecommerce de forma rigurosa y completa ¡todo un chollo!

Por otra parte, las claves de la legalidad en materia RGPD son muy precisas y lo que se debe informar en cada caso también, en la Guía sobre el deber de informar de la AEPD se precisa lo que se debe informar y cómo, en el caso de un blog, a usuarios y suscriptores, por ejemplo.

Como te indicaba,  la legalidad de una web o un blog, va más allá de tener unos textos legales, por eso mi recomendación, es seguir la hoja de ruta que te propone la propia Agencia de protección de datos. En el caso de un blog, no es habitual que necesite un Delegado de protección de datos (DPD) ni realizar una evaluación de impacto, pero sí realizar el resto de actuaciones.

Vamos a analizarlas siguiendo el esquema que propone la AEPD (Agencia española de protección de datos)

1. Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD)

En caso de no ser necesario designar un DPD, identificar a los responsables de COORDINAR LA ADAPTACIÓN, en el caso de un blog profesional, lo lógico es que seas tú mismo.

2. Elaborar un registro de actividades de tratamiento

Es básicamente una descripción de los tratamientos que llevas a cabo en tu blog, por ejemplo, de usuarios, clientes, afiliados, etc. y que deberás poner a disposición de la autoridad de control, en España la AEPD.

Facilita RGPD es la herramienta diseñada por la propia AEPD para ayudarte a resolver este requisito y está orientada a empresas o profesionales que tratan datos personales de escaso riesgo, como es el caso de un blog o una tienda online.

3. Realizar un ANÁLISIS DE RIESGOS

Dentro de las propias herramientas que nos brinda la AEPD, tienes la posibilidad de realizar un análisis de riesgo básico mediante la herramienta Gestiona EIPD que te permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de seguridad  más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

4. Revisar e implantar las MEDIDAS DE SEGURIDAD en tu blog

En función a los resultados del análisis de riesgos tanto para garantizar la integridad, confidencialidad y disponibilidad de los datos como para salvaguardar los derechos y libertades de las personas que se relacionan con tu blog, entre ellas, integrar certificados SSL (tener https), copias de seguridad, antivirus, etc.

5. Establecer mecanismos y procedimientos necesarios para realizar la NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD

En el caso de un blog o una web, sufrir una brecha de seguridad no sería nada disparatado, no son pocas las plataformas que han sufrido brechas en dónde se vieron comprometidos datos de usuarios, como correos electrónicos, nombres o incluso, contraseñas. En caso de que te ocurriera, deberás notificar esa brecha sin dilación a la AEPD y a los afectados si procediera. Para eso, necesitas un procedimiento de notificación claro y ágil y o utilizar el sistema telemático de notificación de brechas aportado por la AEPD.

5. A partir de los resultados del análisis de riesgos, realizar, en su caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS)

Debes tener en cuenta que un blog es un sistema de tratamiento de información personal, pero normalmente, de carácter básico, por lo que es bastante improbable que necesites realizar un informe de impacto.

Y en simultáneo, deberías realizar las siguientes actuaciones que son las más específicas si tienes un blog o una web:

1. Adecuar los FORMULARIOS derecho de información:

Para asegurarte que tus formularios no delatan a tu blog o ecommerce como infractor, la Agencia Española de Protección de Datos recomienda el sistema de información por capas, concretamente, la información debe proporcionarse de la siguiente manera:

Como ves, en este formulario, tienes 3 elementos básicos:

1. Un check box para requerir el consentimiento
2. Una primera capa informativa a pie de formulario visible.
3. Acceso a la segunda capa: la política de privacidad.

Aquí tienes otros 3 ejemplos de formularios adaptados:

Como ves, las diferencias entre sistemas de captura adaptados y no adaptados son más que evidentes.

En caso de denuncia o reclamación, recuerda que serás tú quién tendrá que acreditar que ha informado correctamente y requerido el consentimiento ¿Cómo vas a hacerlo si tus formularios no están adaptados?

Otro ejemplo de primera capa informativa es el aviso de advertencia de cookies, recuerda que deben ser informadas y requerir el consentimiento ANTES de descargarlas en el ordenador del usuario.

En mi caso, las informo en dos lugares diferentes:

En mi test de legalidad que está insertado en una herramienta externa:

También lo aviso en un banner nada más entrar.

2. Obtener un consentimiento válido del usuario para tratar sus datos conforme a la finalidad del formulario. 

Esto significa que deberás adaptar cada uno de tus formularios en función a su finalidad y requerir en cada uno de ellos, el consentimiento específico para esa finalidad en concreto.

La manera de hacerlo es introducir un opt in o check box que recoja ese consentimiento y lo almacene.

Recuerda que no vale el consentimiento por omisión ni el consentimiento tácito, por tanto, no debe estar marcado por defecto y debe ser condición para poder validar al usuario, básicamente, se trata de obtener un primer opt-in para tratar sus datos y que este opt.in puedas acreditarlo luego.

3. Adaptar los MECANISMOS Y PROCEDIMIENTOS para el ejercicio de derechos utilizando servicios web siempre que sea posible

En este punto, deberás habilitar mecanismos sencillos para que los usuarios puedan ejercitar sus derechos y tú puedas atenderlos adecuadamente.

Lo ideal es contar con un procedimiento que puedas especificar en tu propia política de privacidad.

4. Valorar si los ENCARGADOS ofrecen garantías y realizar la adaptación de sus contratos al RGPD

Es lo que te comentaba acerca de las herramientas que utilizas en tu blog o web, no vale cualquiera, deberás elegir solo aquellas que te garanticen que cumplen con el RGPD y que, a su vez, cuenten con mecanismos para que tu puedas cumplir también, como registro de consentimientos, módulos para informar, etc.

Por ejemplo, tu herramienta de mail marketing o las herramientas para realizar encuestas, en ambos casos, debes poder requerir un consentimiento válido y verificable y poder informar adecuadamente. 

En mi caso, la herramienta que utilizo para mis test y encuestas me permite hacerlo de esta manera:

Como ves, este formulario insertado en mi web me permite incluir un sistema informativo y mecanismos para recabar el consentimiento.

5. Elaborar / Adaptar POLÍTICA DE PRIVACIDAD

Informar al usuario sobre tus condiciones de privacidad y obtener su conformidad siguiendo la guía sobre el deber de información que te enlacé más arriba.

Concretamente, una web legal debe contar con los siguientes elementos: 

• Aviso legal
• Política de Privacidad
• Política de cookies y primera capa informativa (pop-up de advertencia)
• Condiciones de contratación (si vendes online)
• Cláusulas informativas a pie de cada formulario

La política de privacidad tiene que suministrar información clara y completa sobre la identidad del prestador de servicios, las categorías de datos, la finalidad del tratamiento, plazos de conservación, la legitimación de datos, así como información relativa de la cesión a terceros, y sobre los derechos de los usuarios.

El RGPD exige personalización e impone una cultura de claridad informativa máxima, esto significa que deberás esmerarte que todos tus textos legales no solo respondan a las características específicas de tu web, sino que, además, sean comprensibles para cualquier usuario.

La política de cookies: es en general, la que peor se cumple, el tema de cookies no es sencillo de resumir y menos sencillo de cumplir, por esa razón, te recomiendo que leas este post dónde explico que te exige la ley en materia de cookies y cómo aplicarlo en tu blog.

Si lo que tienes es un e-commerce o vendes infoproductos, debes además crear condiciones de contratación específicas, formulario de desistimiento y cláusulas específicas vinculadas a la venta a distancia.

Recuerda que, según la hoja de ruta de la AEPD, es imprescindible documentar todas las actuaciones realizadas para poder acreditar la diligencia en el cumplimiento del RGPD.

¿Dónde debo insertar esos textos legales?

El aviso legal, la política de privacidad y la política de cookies debe ser insertado en un lugar visible y accesible, básicamente, en el footer de la web, como ves en la siguiente imagen:

Por razones de claridad, transparencia y accesibilidad, es más que
recomendable que los tengas por separado, recuerda que debes informar por
capas y es importante que cada primera capa remita a la segunda, que puede
ser política de privacidad o de cookies.

Conclusión: ¿cuánto de ilegal es tu blog?

Para que no tengas que desesperar con especulaciones, ni agobiarte gratuitamente, he preparado este test gratuito para que puedas averiguar si tu blog es ilegal y si lo fuera, qué porcentaje de ilegalidad tiene tu web y como puedas subsanarlo.

Estás a tiempo, la legalidad no es opcional y aplicar a tu web los elementos que generan confianza y credibilidad debería ser una prioridad para todos los que operamos en canales digitales y gestionamos información de otros.

Recuerda que tu blog de define. ¿Cómo esperas que te perciban lectores, usuarios y medios?