Empieza la cuenta atrás… el próximo 25 de mayo, entra en vigor el nuevo RGPD (Reglamento General de Protección de datos) y estamos seguros que muchos no se han leído la ley en sí y como mucho habrán tenido acceso a resúmenes de Google o incluso de entidades de abogados, que tras palabrería técnico-legal no lo dejan muy claro.
Ojo que no digo que lo que hayáis leído sea incorrecto, nosotros hemos leído al menos 7 versiones de las interpretaciones y todas son correctas, aunque algunas incompletas. Eso se debe que hasta que no caigan las primeras sanciones no conoceremos las interpretaciones de los jueces al respecto. Eso puede suponer un problema ya que se anuncia que sanciones irán en torno a los 6.000 a 600.000 euros dependiendo de la gravedad del incumplimiento.
Imagino que si eres una pequeña empresa si te ponen una multa de más de medio millón de euros y después del primer susto y disgusto pensarás que al final como no vas a poder pagar esa burrada ¿qué mas da? Probablemente tengas razón, pero ten en cuenta que eso es el máximo e imagino que está destinada a las infracciones de las grandes entidades como Google o Facebook o los mismos estados, etc… De manera que se reservan las sanciones menores para las entidades (humanas o empresariales) ya se cuidarán mucho de que pagues sea como sea.
Dicho ésto y esperando poder justificar el título del post me temo que a partir de aquí no todo está completamente claro y vamos a ver si somos capaces de explicar claramente qué cosas hay que hacer y qué cosas no hay ni que pensarlas (aunque las hayamos hecho toda la vida).
Si eres una pequeña o muy pequeña empresa y tu formación no está en el campo de las leyes te recomendamos que acudas lo antes posible a un asesor cualificado para que te ayude a estar al corriente con respecto a esta normativa.
Básicamente el RGPD se dedica a cuidar y proteger al usuario de cualquier injerencia de las empresas con sus datos así como su comercialización o cesión de los mismos a terceras empresas. Está totalmente prohibido comerciar con los datos de los usuarios y por tanto es una de las cosas más perseguidas y castigadas.
La antigua LOPD no dejaba muy claro qué datos son susceptibles (por su texto e interpretación) de ser almacenados libremente incluso intercambiados. El nuevo RGPD deja claro que todos los datos que puedan identificar a un individuo concreto, incluidos cookies que almacenen datos geográficos. Por supuesto direcciones de email o incluso nick ya que muchos de ellos se usan para identificarse en redes sociales. Como nota graciosa, hemos visto a personas que firman con su nick y aunque no es válido sin la correspondiente corroboración si que sirve para validar una transacción simple.
Hagamos una parada para tomar aire…
Si usas bases de datos de ciudadanos europeos estás incurriendo un delito de apología del tráfico de datos y como tal puedes ser castigado, denunciado y sancionado. Ten ésto en cuenta cuando recibas un email de esos que te dicen que son una empresa dedicada a la captación y que te venden una base de datos con tu target bien afinado.
Si usas un servicio externo para almacenar los datos de tus visitantes a la web significa que estás cediendo esos datos a otras empresas, por lo que si éstas no se encuentran en la comunidad europea no tienen por qué respetar el RGPD. Por lo que si cedes datos a empresas como Mailchimp, Dropbox, Microsoft o incluso Google o Facebook podrías incurrir en un delito de transmisión de datos personales.
Ten cuidado con el tema Cookies ya que si tienes instalado un sistema tipo Adsense de Google estás instalando cookies que almacenan cosas, de la misma manera que los plugins o códigos Pixel de las redes sociales lo hacen igualmente. Debes informar a tus usuarios que lo haces y que por tanto quedan expuestos ya que no tienes control sobre esos ficheros. Cabe decir que entidades como Google han ajustado convenientemente sus políticas de privacidad e incluso los datos que almacenan, por eso debes revisar los email que te han enviado recientemente para indicar que quieres las cosas a la europea y que por tanto no deben almacenar nada más que lo esencial.
En el caso de hostings o almacenamientos en la nube o incluso Microsoft puedes solicitar y exigir un certificado que indique claramente y sin fisuras legales un certificado conforme se advienen al RGPD y que por tanto solo mediante una solicitud de un Tribunal Federal pueden abrirla. Al tiempo que al exigirles el cumplimiento del reglamento se comprometen a poner el máximo esfuerzo en la seguridad de sus sistemas y procurar evitar al máximo que cualquier prepúber con la cara llena de granos pueda colarse en nuestra base de datos (sea de la nacionalidad que sea).
Ten en cuenta que no es cosa de coña, las sanciones son importantes y debes estar al día de estas cosas, en días sucesivos vamos a ir publicando el contenido que debe tener tu página de Políticas de Protección de datos y la de Aviso de Cookies, ya que en la actualidad van relacionadas directamente con el RGPD y nos podemos poner en un aprieto si no hacemos las cosas bien desde el principio.
Cabe decir que el RGPD es ordenado desde Europa y que es de obligado cumplimiento por los Estados miembros sin excepciones. Solo los Estados como España que ya cuentan con una normativa pueden modificar el texto, y en cualquier caso los reglamentos son acumulativos, de manera que si, por ejemplo, la ley española no cubre un aspecto pero lo hace la europea estás obligado igual.
Con anterioridad ya hemos escrito sobre temas legales, por un lado una serie orientada al RGPD y otros anteriores a tener en cuenta con respecto a la antigua pero no obsoleta LOPD.
- RGPD (I) Cosas a tener en cuenta. Reglamento. Auto-borrado de usuarios.
- Privacidad, EEUU y a lo que debemos temer.
Imagen destacada de Shutterstock gracias a: sebra
0 comentarios