Tarsis.net — Agencia Web y Marketing Digital — Tel: (+34) 911 413 259 EN

Tarsis.net › Agencia Web y Marketing Digital

Archivo de la categoría ‘Miscelánea’

Cómo adaptar nuestra web al nuevo Reglamento General de Protección de Datos

Tarsis.net

El Reglamento General de Protección de Datos que entra en vigor el 25 de mayo está siendo un dolor de cabeza para muchos administradores de sitios web que no saben ni por dónde empezar. Afortunadamente, no es tan difícil adaptar nuestro sitio web al nuevo RGPD si prestamos atención a un par de puntos clave.

Pensando frente al ordenador

Foto de NordWood Themes en Unsplash

Para muchas pequeñas empresas o microempresas que tienen recursos limitados, tener que prestar atención al nuevo Reglamento General de Protección de Datos distrae su atención de otras tareas de negocio, más perentorias o rentables. Hay muchos aspectos de la empresa que hay que adaptar al nuevo RGPD, pero, como por algo hay que empezar, hoy vamos a proponer a nuestros lectores que se centren en su sitio web. Es lo más sencillo y nos aportará optimismo para seguir con el resto.

Como cada adaptación depende de las peculiaridades de cada empresa, repetimos: en este artículo hablaremos sólo del sitio web, no de otros procesos. Así que no olvide leerse el Reglamento por si tiene usted que hacer algo más.

Para ir abriendo boca…

… vayamos por partes. Lo primero es hacernos con el texto del Reglamento, cuyo título completo es “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)”. En algunos sitios veremos que se refieren a él por sus siglas en inglés GDPR o General Data Protection Regulation.

Después de adoptar un rictus de disgusto tras ver que se compone de nada menos que 88 páginas, nos olvidaremos de todo excepto de adaptar nuestro sitio web, y nos dirigiremos directamente a la Sección 2, Artículo 13: Información que deberá facilitarse cuando los datos personales se obtengan del interesado.

¿Por qué nos debe interesar este artículo antes que cualquier otro? Porque nuestro sitio web, si es como la mayoría, tendrá un formulario de contacto y puede que además, en el caso de una tienda, un formulario para darse de alta como comprador. En cualquiera de los casos lo más probable es que la intención sea obtener los datos del interesado, y no que alguien introduzca los datos de una tercera persona. Si su caso es diferente, entonces tendrá que seguir en el Artículo 14.

Ahora bien: el reglamento, en el Artículo 6, nos indica cuál es un tratamiento lícito de los datos, y por lo tanto en qué casos podemos, como empresa o autónomo, tratar datos personales de los visitantes a nuestra web (o de otras fuentes). Para que el tratamiento de los datos sea lícito debe cumplir al menos una de las condiciones impuestas por el Artículo 6, pero para nuestro propósito vamos a dar por hecho que se cumple una de las dos primeras, que son:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.

Si no fuera ese su caso, consulte la ley para ver en qué punto o puntos se puede amparar.

Ahora nos concentraremos en los dos elementos que vamos a tratar en este artículo, y que son el formulario por un lado y la página de privacidad por el otro.

Formulario de recogida de datos

Cualquier formulario que tenga en su sitio web es susceptible de suponer una recogida de datos del visitante: un formulario de contacto, un formulario de contratación, un registro como usuario o comprador, una suscripción a un boletín, etc.

Como una de las condiciones posibles a las que apunta el Artículo 6 del RGPD es el consentimiento del interesado, si queremos basarnos en esta condición para hacer el tratamiento de los datos una de las cosas que le tenemos que pedir al usuario, además del correo electrónico, nombre, etc. que sea que necesitemos, es su consentimiento. He aquí la forma de hacerlo: añadir al formulario una casilla sin marcar pero que sea obligatorio marcar para que se ejecute la acción del formulario. El texto junto a la casilla ha de ser claro, del tipo: “Confirmo que he leído la información sobre privacidad y protección de datos y que consiento en enviar mis datos para el uso indicado.”

Atención con esta casilla, porque es importante que, tanto si el formulario se procesa mediante el envío de un mensaje de correo electrónico como mediante la escritura de un registro en una base de datos, quede constancia de que el usuario ha dado su consentimiento. Si cuando se rellena el formulario usted recibe un mensaje de correo electrónico, asegúrese de que el hecho de que esta casilla esté marcada va a generar una línea en el mensaje que inequívocamente diga que ese usuario ha dado su consentimiento. Sirve con un “Consiente: Sí”. Esto no nos lo hemos inventado nosotros; lo dice el Artículo 7 del RGPD en su punto 1. Así que asegúrese de que guarda esas pruebas de consentimiento en lugar seguro y con copia de seguridad.

Pero el usuario ha dado su consentimiento “para el uso indicado”. ¿Y cómo sabe el usuario cuál es el uso indicado? La forma más fácil para este usuario es tener la información delante, sin tener que navegar a otra página. Por eso es útil poner en la misma página del formulario un resumen de la información que necesita para dar un consentimiento informado, y un enlace a una página (que llamaremos “página de privacidad”) para poder obtener más información.

Este resumen debe estar claramente visible en la página del formulario: antes del botón de envío o accesible desde el texto de la casilla de confirmación mediante un enlace dentro de la misma página. Eso va a gustos.

La información mínima que debemos proporcionar sin que el usuario tenga que visitar otra página es:

  • quién es el Responsable de esos datos una vez se envíen (es decir, el responsable de la web en la mayoría de los casos);
  • cuál es la Finalidad para la que se van a usar esos datos (responder a una solicitud de contacto, suscribir al usuario a un boletín, etc.);
  • cuál es la Legitimación que nos permite tratar esos datos (que será el consentimiento del interesado en el caso de que le obliguemos a marcar la casilla, o una obligación contractual en caso de que sea un formulario de contratación);
  • cuáles van a ser los Destinatarios de esos datos (si por ejemplo se los vamos a enviar a una tercera empresa para que sean ellos quienes los gestionen);
  • cuáles son los Derechos que tiene el interesado (a saber qué datos tenemos suyos, a que le demos de baja, etc.);
  • si existe información adicional que podamos darle y dónde está (por ejemplo, en la página de privacidad).

Y allí encontraremos nuestra siguiente parada.

Página de privacidad

La ley no le obliga a tener una página en su sitio web dedicada exclusivamente a sus políticas de privacidad, pero sí que éstas estén en la web. Puede por ejemplo incluir la información sobre privacidad y tratamiento de datos personales en su página de políticas de empresa, o en las condiciones de uso de la web. La cuestión es que tenga esa información y que el enlace a información adicional que ha incluido en su formulario de toma de datos se dirija exactamente a la información sobre privacidad, sin que el usuario tenga que buscar por una larga página para encontrar lo que busca.

El RGPD es muy claro respecto de qué información debemos poner a disposición del interesado en el momento de facilitarnos sus datos personales. Le remitimos de nuevo al Artículo 13, que para los responsables de un sitio web debe ser tratado como el Santo Grial.

Pero como para jerga legal ya tiene usted el texto del Reglamento, que se lo habrá descargado nada más empezar a leer este artículo, aquí se lo vamos a poner en nuestras propias palabras. Insistimos en que su guía ha de ser el propio Reglamento, pero esto le servirá para ir entrando en calor:

  • quién es el responsable y sus datos de contacto;
  • con qué fin se van a tratar esos datos;
  • por qué tiene usted derecho a tratar esos datos (porque el usuario le ha dado su consentimiento, porque los necesita para cumplir su parte del contrato…);
  • cuáles van a ser los destinatarios de esos datos;
  • si va a enviar esos datos a un país fuera de la Unión Europea que no haya sido considerado adecuado por la Comisión Europea en cuanto al cuidado que se tiene allí tratando los datos personales;
  • por cuánto tiempo va usted a conservar esos datos;
  • cuáles son los derechos que tiene el usuario respecto de sus datos (acceso, rectificación, supresión, portabilidad y limitación al tratamiento de sus datos o su oposición a este tratamiento);
  • el derecho que tiene el interesado de reclamar ante una autoridad de control, que en España es la Agencia Española de Protección de Datos;
  • si el interesado está obligado a facilitar estos datos por obligación contractual o de otro tipo y las consecuencias que puede tener el hecho de que no los facilite;
  • si se van a usar esos datos para tomar decisiones automatizadas que le afecten, como la creación de perfiles (por ejemplo, usar un algoritmo para cobrarle más o menos en el momento de suscribir un seguro y cosas así).

Asegúrese de que su página sobre privacidad contiene esa información y lo más probable es que, junto con la casilla para pedir el consentimiento en todos los formularios, su web pueda llegar al 25 de mayo en estado de revista.

Lo justo y necesario

Unas notas antes de despedirnos.

El Artículo 5 del reglamento dice muy claramente que “Los datos personales serán: a) […] b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines [… y] c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos») […]”.

No tiene sentido pedirle a un posible cliente la fecha de nacimiento en un formulario de contacto y que además sea un campo obligatorio, pero es que además bajo el RGPD esto es ahora ilegal. Si es necesario que para alguna acción disparada por un formulario el interesado sea mayor de edad, es suficiente con una casilla de declaración de mayoría de edad. Piense siempre en alternativas cuando crea que debe pedir más datos, porque con cada información extra que le pida al usuario está usted comprometiéndose a tener que defender su necesidad ante un tribunal. Si no está seguro de poder hacerlo, es mejor abstenerse de pedir la información.

Hemos dicho antes que la legitimidad para tratar los datos del interesado cuando hay un contrato de por medio es el cumplimiento del propio contrato. Visto así, en un formulario de contratación no sería necesario incluir la casilla de consentimiento. Desde nuestro punto de vista, más vale ser precavido y hacer declarar al usuario que ha leído la política de privacidad (aparte de los términos de contratación aplicables al caso). Al fin y al cabo, usted tiene que velar por sus propios intereses, y dormirá más tranquilo teniendo la prueba de consentimiento de todos sus usuarios, sean clientes o no.

Aparte de estos requisitos legales, técnicamente la información enviada a través de un formulario debería estar encriptada para que nadie pueda interceptarla en el camino hacia su buzón de correo electrónico o hacia su base de datos. Por eso debería proteger su web con un certificado SSL (lo que hace que algunas webs tengan una dirección https://... en lugar de http://...) y así dar a sus visitantes todas las garantías de confidencialidad posibles.

Y ya por último, si tiene un blog que acepte comentarios de los visitantes, no olvide que eso también es un formulario y que está usted recogiendo direcciones de correo electrónico y puede que hasta nombres reales. Existen plugins o módulos para los gestores de contenido más utilizados, como WordPress, que le pueden ayudar a añadir la casilla de consentimiento también en este caso. Aprovéchelos.

Publicado en: Miscelánea

Inseguridad jurídica de los dominios .ES

Tarsis.net

El pasado 16 de noviembre de 2012 la agencia gubernamental Red.es daba a conocer en una nota de prensa que los dominios .ES podrían ver “reasignado” su propietario en pro del interés general, dependiendo este hecho meramente de la voluntad administrativa.

Red.es: Otro caso de uso privado de recursos públicos

Es una vieja historia que todos conocemos a través de las cadenas de televisión: las cadenas públicas resultan ser las más privadas de las cadenas, a las órdenes de los partidos políticos que las han infiltrado, frecuentemente — aunque no siempre — aquellos que están en el poder.

Un ciudadano inocente podría aspirar a que un organismo que se ocupa de la gestión de recursos públicos — como es el caso del espacio de nombres de dominio .ES — hiciera un esfuerzo titánico por defender la equidad y defensa de la ley y de la norma, del uso de ese recurso, pero claro, eso sería un ciudadano inocente, o quizá un ciudadano de otro país.

Cambiando las reglas del juego en mitad de la partida, Red.es mostró el pasado 16 de noviembre sus verdaderos colores, que no tienen nada que ver con un color político u otro, sino con la forma tradicional de hacer de la burocracia en España: Inflexible con el débil y complaciente hasta la náusea con el poderoso. “¿Igualdad de trato para todos y respeto a las normas? Por ese nombre no me viene nada“.

Quedamos avisados: Nuestros dominios .ES pueden ser “reasignados” unilateralmente por Red.es mediante un sencillo acto administrativo, bastando la voluntad de un funcionario convenientemente adiestrado (“Sit, sit, plas, plas. Buen chico, te has ganado otro Moscoso.”). Quizá podríamos recurrir… ¡ah, no, espera!, que ahora ya los recursos cuestan un ojo de la cara más los tradicionales ocho años de resolución del caso judicial.

Primer caso: sareb.es

No ha hecho falta esperar mucho — a alguien peor pensado podría ocurrírsele que la medida “en defensa del interés general” es en realidad una medida ad-hoc — para encontrarnos con el primer caso: El “banco malo”, alias Sareb, ha causado que el día 4 de enero Red.es (“Sit, sit, plas, plas”) haya expropiado el dominio sareb.es a sus propietarios para reasignárselo a la nueva entidad.

No es que los antiguos propietarios fueran una banda de ciberocupas, ni la mafia ucraniana, no. Se trata de una empresa legalmente establecida, dedicada al negocio textil y con la marca “Sareb” registrada en la Oficina de Patentes y Marcas del Ministerio de Industria.

Se trata, claro, de una pequeña empresa. Si a alguien se le hubiera ocurrido que el banco malo en lugar de adoptar el nombre Sociedad de Gestión de Activos Procedentes de la Reestructuración Bancaria, S. A. se hubiera llamado Sociedad para la Armonización de Activos Bancarios S. A., ¿alguien cree de verdad que hubieran expropiado el dominio saab.es? Hagan sus apuestas.

Para cualquiera que haya creado una web para su empresa, y que haya tenido que promocionarla, ganar clientes y posicionarla en los buscadores debe ser evidente el impacto que una actuación como ésta tiene en el negocio: echa por tierra años de trabajo, dinero  y un buen número de clientes, aparte de los gastos derivados del cambio de direcciones en todos los elementos de comunicación corporativa — email, tarjetas, cartas, facturas, etc. –.

¿Cómo exactamente se sirve al interés general cuando se crea una inseguridad jurídica que pueda tener este efecto? ¿Cómo confiar en la administración, en Red.es? ¿No es esto otro indicador más de que poner en marcha un negocio en España es mucho más difícil y más caro que en cualquier país civilizado — y otros no tanto –? ¿Un empujoncito más hacia el “no vale la pena” justo en un momento en el que país necesita de más iniciativas de emprendimiento que nunca?

Hipocresía burocrática y graves antecedentes de arbitrariedad

Pero que la propia Red.es tenía ya mala conciencia de sus actos desde el mismo momento en que hicieron pública la nueva norma está bien claro por la forma en que se apresuraron a ponerse la venda antes de la herida, cuando en la nota de prensa del anuncio de la nueva norma declaran:

La persona (física o jurídica) que registra un nombre de dominio directamente relacionado con el interés general, sin representarlo, dispone del uso (nunca de la propiedad) de un recurso público que legítimamente no le corresponde. Por esta razón bajo ningún concepto puede hablarse de una “expropiación forzosa”, sino de “reasignación”.

Uno puede tratar de engañar a los demás utilizando cuantos eufemismos se le ocurran, pero la pérdida económica, el lucro cesante y la vulneración de los derechos particulares son incuestionables.

Y no es que a Red.es (alias ES-NIC) le falten tampoco antecedentes de un uso abusivo de su posición monopolística, siempre inclinándose favorablemente hacia el mismo lado. Habrá aún quien recuerde que, en un tiempo en el que conseguir registrar un dominio .ES requería pasar por una pesadilla burocrática, y cuando sus normas de registro incluían: 1) que no se podían registrar nombre genéricos, y 2) que el plazo mínimo de registro era de un año, se autorizó a Telefónica a registrar durante los tres meses previos a su salida a bolsa el dominio acciones.es.

Piénseselo bien

A la luz de este nuevo estado de cosas parece mucho más sensato pensarse dos veces si un dominio .ES es la mejor opción para establecer la presencia online de nuestro negocio, o si por el contrario sería más prudente optar por un .COM u otro dominio genérico de primer nivel antes que verse envuelto en algún delirio burocrático.

Lo que está en juego es una parte importante de su negocio en la que usted ha invertido y trabajado durante años. Píenselo.

 

Recursos:

 

 

Publicado en: Empresa Miscelánea

Etiquetas:

Reflotando un sitio web

Tarsis.net

El año 2010 marcará los veinte años de la existencia de la web. Tim Berners Lee diseñó y desarrolló por primera vez este increible protocolo en 1990, mientras trabajaba para el CERN. En estos años la evolución ha sido increible, de lo cual todos nosotros somos testigos cada día.

De las primeras versiones de la web, austeras por necesidad, pasamos a webs con muy diferentes orientaciones estéticas y capacidades. Andando el tiempo muchas de esas webs –las de aquellas organizaciones que están dejando escapar un tren que necesitan coger–  han ido languideciendo en sus servicios de alojamiento, recibiendo visitas ocasionales, y dejando en sus visitantes actuales la misma sensación de melancolía que cuando se ojea un periódico de 1952.

En nuestro trato con clientes de pequeñas y medianas empresas nos encontramos frecuentemente con estos casos, aunque también es verdad que detectamos sin duda un interés por volver a ganar la iniciativa y dedicar atención a la web como herramienta del negocio. En estos casos, solemos encontrarnos con una serie de síntomas que delatan el abandono del sitio:

  • La web está concebida en los términos y pensando en las motivaciones del que la hace, en lugar de las del que la visita. Esto es realmente un pecado capital, máxime porque cada vez más la concepción de la web queda en manos de personal relacionado con el marketing, no por personal técnico.
  • Su contenido, tanto en información como en metainformación, no está concebido con los buscadores en mente. Esto hoy en día es el equivalente al suicidio web, porque desapareces del mapa.
  • No se ajusta a los estándares HTML actuales. En un primer momento puede pensarse que esto es un aspecto secundario, de esos que encantan a los técnicos y molestan a los ejecutivos, pero la calidad del código de un sitio incide directamente en sus indexabilidad por los buscadores, es decir, en el posicionamiento que el sitio vaya a tener en los motores de búsqueda.
  • No dispone de un sistema de analítica (estadísticas) web moderno. Hoy en día no hay excusa válida para no disponer de información detallada y personalizada de qué ocurre en nuestro sitio web, con las herramientas tipo Google Analytics, que son gratuitas e increiblemente potentes.
  • El diseño es antiguo. La primera impresión es una ocasión única. Si no somos capaces de dar una buena impresión mejor sería no dar ninguna. Todos nos hemos encontrado alguna vez con webs del tipo “1995” (webs primitivas de estética cuestionable, el inevitable dancing baby y el contador de visitas roto), tipo “2000” (con esa inexplicable moda de formatear los textos en 7 puntos e incluir “::” y “:..” en cada título al alcance de la vista) u otros con una interminable e incongruente variedad de tipos de letra, simplemente porque están disponibles (lo que se conoce como ramson note web, web de nota de secuestro).
  • Ninguna concesión a la usabilidad. Yo ya sé cómo se hace cada cosa. Cada cuál que se arregle como pueda.
  • El sitio está concebido como un folleto publicitario. La web es una parte integrante del negocio y de las actividades de la organización. Renunciar a esas capacidades pone de manifiesto o bien una incapacidad para darse cuenta de la auténtica naturaleza de la web o bien una falta de interés por proporcionar a los clientes y posibles clientes lo que buscan. El coste no es hoy en día una escusa válida, porque existe una miríada de soluciones baratas o de código libre para poner en servicio el sistema que sea requerido en el trato con nuestros usuarios.
  • El sitio carece de un dominio propio, o dispone de dominio propio, pero las direcciones de correo electrónico de las personas que trabajan en la empresa son de un servicio de correo gratuito. Teniendo en cuenta lo que cuesta anualmente un dominio, es una forma de dar una mala imagen como otra cualquiera.

Es patente para todos que nos encontramos en un periodo de crisis, y que éste puede ser más largo de lo inicialmente esperado. En estas circunstancias parece claro que invertir en las herramientas que nos hacen más competitivos, que menos cuestan y que más nos acercan a los clientes es una prioridad.

Coca Cola o Audi pueden pagarse campañas de anuncios en televisión, e incluso mantener una fria distancia con el consumidor. Por el contrario la pequeña y mediana empresa tiene medios mucho más limitados, y necesita la cercanía a su cliente desesperadamente. Las herramientas y las oportunidades están ahí. Su coste es pequeño, pero el coste de la oportunidad perdida… ese coste puede ser muy alto.

Publicado en: Miscelánea Web

Etiquetas: