Cómo adaptar nuestra web al nuevo Reglamento General de Protección de Datos

Tarsis.net, 19 de marzo de 2018

El Reglamento General de Protección de Datos que entra en vigor el 25 de mayo está siendo un dolor de cabeza para muchos administradores de sitios web que no saben ni por dónde empezar. Afortunadamente, no es tan difícil adaptar nuestro sitio web al nuevo RGPD si prestamos atención a un par de puntos clave.

Foto de NordWood Themes en Unsplash

Para muchas pequeñas empresas o microempresas que tienen recursos limitados, tener que prestar atención al nuevo Reglamento General de Protección de Datos distrae su atención de otras tareas de negocio, más perentorias o rentables. Hay muchos aspectos de la empresa que hay que adaptar al nuevo RGPD, pero, como por algo hay que empezar, hoy vamos a proponer a nuestros lectores que se centren en su sitio web. Es lo más sencillo y nos aportará optimismo para seguir con el resto.

Como cada adaptación depende de las peculiaridades de cada empresa, repetimos: en este artículo hablaremos sólo del sitio web, no de otros procesos. Así que no olvide leerse el Reglamento por si tiene usted que hacer algo más.

Para ir abriendo boca…

… vayamos por partes. Lo primero es hacernos con el texto del Reglamento, cuyo título completo es “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)”. En algunos sitios veremos que se refieren a él por sus siglas en inglés GDPR o General Data Protection Regulation.

Después de adoptar un rictus de disgusto tras ver que se compone de nada menos que 88 páginas, nos olvidaremos de todo excepto de adaptar nuestro sitio web, y nos dirigiremos directamente a la Sección 2, Artículo 13: Información que deberá facilitarse cuando los datos personales se obtengan del interesado.

¿Por qué nos debe interesar este artículo antes que cualquier otro? Porque nuestro sitio web, si es como la mayoría, tendrá un formulario de contacto y puede que además, en el caso de una tienda, un formulario para darse de alta como comprador. En cualquiera de los casos lo más probable es que la intención sea obtener los datos del interesado, y no que alguien introduzca los datos de una tercera persona. Si su caso es diferente, entonces tendrá que seguir en el Artículo 14.

Ahora bien: el reglamento, en el Artículo 6, nos indica cuál es un tratamiento lícito de los datos, y por lo tanto en qué casos podemos, como empresa o autónomo, tratar datos personales de los visitantes a nuestra web (o de otras fuentes). Para que el tratamiento de los datos sea lícito debe cumplir al menos una de las condiciones impuestas por el Artículo 6, pero para nuestro propósito vamos a dar por hecho que se cumple una de las dos primeras, que son:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.

Si no fuera ese su caso, consulte la ley para ver en qué punto o puntos se puede amparar.

Ahora nos concentraremos en los dos elementos que vamos a tratar en este artículo, y que son el formulario por un lado y la página de privacidad por el otro.

Formulario de recogida de datos

Cualquier formulario que tenga en su sitio web es susceptible de suponer una recogida de datos del visitante: un formulario de contacto, un formulario de contratación, un registro como usuario o comprador, una suscripción a un boletín, etc.

Como una de las condiciones posibles a las que apunta el Artículo 6 del RGPD es el consentimiento del interesado, si queremos basarnos en esta condición para hacer el tratamiento de los datos una de las cosas que le tenemos que pedir al usuario, además del correo electrónico, nombre, etc. que sea que necesitemos, es su consentimiento. He aquí la forma de hacerlo: añadir al formulario una casilla sin marcar pero que sea obligatorio marcar para que se ejecute la acción del formulario. El texto junto a la casilla ha de ser claro, del tipo: “Confirmo que he leído la información sobre privacidad y protección de datos y que consiento en enviar mis datos para el uso indicado.”

Atención con esta casilla, porque es importante que, tanto si el formulario se procesa mediante el envío de un mensaje de correo electrónico como mediante la escritura de un registro en una base de datos, quede constancia de que el usuario ha dado su consentimiento. Si cuando se rellena el formulario usted recibe un mensaje de correo electrónico, asegúrese de que el hecho de que esta casilla esté marcada va a generar una línea en el mensaje que inequívocamente diga que ese usuario ha dado su consentimiento. Sirve con un “Consiente: Sí”. Esto no nos lo hemos inventado nosotros; lo dice el Artículo 7 del RGPD en su punto 1. Así que asegúrese de que guarda esas pruebas de consentimiento en lugar seguro y con copia de seguridad.

Pero el usuario ha dado su consentimiento “para el uso indicado”. ¿Y cómo sabe el usuario cuál es el uso indicado? La forma más fácil para este usuario es tener la información delante, sin tener que navegar a otra página. Por eso es útil poner en la misma página del formulario un resumen de la información que necesita para dar un consentimiento informado, y un enlace a una página (que llamaremos “página de privacidad”) para poder obtener más información.

Este resumen debe estar claramente visible en la página del formulario: antes del botón de envío o accesible desde el texto de la casilla de confirmación mediante un enlace dentro de la misma página. Eso va a gustos.

La información mínima que debemos proporcionar sin que el usuario tenga que visitar otra página es:

• quién es el Responsable de esos datos una vez se envíen (es decir, el responsable de la web en la mayoría de los casos);
• cuál es la Finalidad para la que se van a usar esos datos (responder a una solicitud de contacto, suscribir al usuario a un boletín, etc.);
• cuál es la Legitimación que nos permite tratar esos datos (que será el consentimiento del interesado en el caso de que le obliguemos a marcar la casilla, o una obligación contractual en caso de que sea un formulario de contratación);
• cuáles van a ser los Destinatarios de esos datos (si por ejemplo se los vamos a enviar a una tercera empresa para que sean ellos quienes los gestionen);
• cuáles son los Derechos que tiene el interesado (a saber qué datos tenemos suyos, a que le demos de baja, etc.);
• si existe información adicional que podamos darle y dónde está (por ejemplo, en la página de privacidad).

Y allí encontraremos nuestra siguiente parada.

Página de privacidad

La ley no le obliga a tener una página en su sitio web dedicada exclusivamente a sus políticas de privacidad, pero sí que éstas estén en la web. Puede por ejemplo incluir la información sobre privacidad y tratamiento de datos personales en su página de políticas de empresa, o en las condiciones de uso de la web. La cuestión es que tenga esa información y que el enlace a información adicional que ha incluido en su formulario de toma de datos se dirija exactamente a la información sobre privacidad, sin que el usuario tenga que buscar por una larga página para encontrar lo que busca.

El RGPD es muy claro respecto de qué información debemos poner a disposición del interesado en el momento de facilitarnos sus datos personales. Le remitimos de nuevo al Artículo 13, que para los responsables de un sitio web debe ser tratado como el Santo Grial.

Pero como para jerga legal ya tiene usted el texto del Reglamento, que se lo habrá descargado nada más empezar a leer este artículo, aquí se lo vamos a poner en nuestras propias palabras. Insistimos en que su guía ha de ser el propio Reglamento, pero esto le servirá para ir entrando en calor:

• quién es el responsable y sus datos de contacto;
• con qué fin se van a tratar esos datos;
• por qué tiene usted derecho a tratar esos datos (porque el usuario le ha dado su consentimiento, porque los necesita para cumplir su parte del contrato…);
• cuáles van a ser los destinatarios de esos datos;
• si va a enviar esos datos a un país fuera de la Unión Europea que no haya sido considerado adecuado por la Comisión Europea en cuanto al cuidado que se tiene allí tratando los datos personales;
• por cuánto tiempo va usted a conservar esos datos;
• cuáles son los derechos que tiene el usuario respecto de sus datos (acceso, rectificación, supresión, portabilidad y limitación al tratamiento de sus datos o su oposición a este tratamiento);
• el derecho que tiene el interesado de reclamar ante una autoridad de control, que en España es la Agencia Española de Protección de Datos;
• si el interesado está obligado a facilitar estos datos por obligación contractual o de otro tipo y las consecuencias que puede tener el hecho de que no los facilite;
• si se van a usar esos datos para tomar decisiones automatizadas que le afecten, como la creación de perfiles (por ejemplo, usar un algoritmo para cobrarle más o menos en el momento de suscribir un seguro y cosas así).

Asegúrese de que su página sobre privacidad contiene esa información y lo más probable es que, junto con la casilla para pedir el consentimiento en todos los formularios, su web pueda llegar al 25 de mayo en estado de revista.

Lo justo y necesario

Unas notas antes de despedirnos.

El Artículo 5 del reglamento dice muy claramente que “Los datos personales serán: a) […] b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines [… y] c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos») […]”.

No tiene sentido pedirle a un posible cliente la fecha de nacimiento en un formulario de contacto y que además sea un campo obligatorio, pero es que además bajo el RGPD esto es ahora ilegal. Si es necesario que para alguna acción disparada por un formulario el interesado sea mayor de edad, es suficiente con una casilla de declaración de mayoría de edad. Piense siempre en alternativas cuando crea que debe pedir más datos, porque con cada información extra que le pida al usuario está usted comprometiéndose a tener que defender su necesidad ante un tribunal. Si no está seguro de poder hacerlo, es mejor abstenerse de pedir la información.

Hemos dicho antes que la legitimidad para tratar los datos del interesado cuando hay un contrato de por medio es el cumplimiento del propio contrato. Visto así, en un formulario de contratación no sería necesario incluir la casilla de consentimiento. Desde nuestro punto de vista, más vale ser precavido y hacer declarar al usuario que ha leído la política de privacidad (aparte de los términos de contratación aplicables al caso). Al fin y al cabo, usted tiene que velar por sus propios intereses, y dormirá más tranquilo teniendo la prueba de consentimiento de todos sus usuarios, sean clientes o no.

Aparte de estos requisitos legales, técnicamente la información enviada a través de un formulario debería estar encriptada para que nadie pueda interceptarla en el camino hacia su buzón de correo electrónico o hacia su base de datos. Por eso debería proteger su web con un certificado SSL (lo que hace que algunas webs tengan una dirección https://... en lugar de http://...) y así dar a sus visitantes todas las garantías de confidencialidad posibles.

Y ya por último, si tiene un blog que acepte comentarios de los visitantes, no olvide que eso también es un formulario y que está usted recogiendo direcciones de correo electrónico y puede que hasta nombres reales. Existen plugins o módulos para los gestores de contenido más utilizados, como WordPress, que le pueden ayudar a añadir la casilla de consentimiento también en este caso. Aprovéchelos.