Información y consentimiento en tu web - RGPD
Hoy os traigo el segundo y último artículo en el que explico cómo presentar la información por capas en tu web y la recolección del consentimiento de tus usuarios para cumplir la normativa de protección de datos.
En la primera entrega expliqué que había cumplir el deber de informar. Y que la AEPD recomendaba un modelo de información por capas.
Así pues…
¿Cómo se estructura la información por capas en tu web?
Primera capa: Información básica.
¿Qué debe constar en la primera capa?
En esta primera capa debemos incluir:
La identidad del responsable del tratamiento (quien recoge y tratará los datos).
Una descripción sencilla de para qué va a tratar los datos (por ejemplo, gestión de la suscripción).
La base jurídica del tratamiento (por ejemplo, la ejecución de un contrato).
Si se van a ceder esos datos a un tercero o, incluso, a terceros países.
Explicar brevemente los derechos de los interesados sobre sus datos.
Si los datos no proceden del propio interesado, la fuente donde se han conseguido.
Por último, debe indicarse claramente dónde o cómo puede accederse a la información completa en la segunda capa.
¿Cómo y dónde debo incluir esta primera capa?
La información deberá presentarse en forma de tabla, garantizando que quede dentro del campo de visión del interesado (esto significa que tienes que colocarlo pegadito al formulario), con un título que lo identifique claramente (al estilo “Información básica sobre protección de datos”) y hay que redactarlo de forma clara y sencilla (sin tecnicismos, vaya, que todo el mundo entienda lo que lee). Cuanto más claro y mascado, mejor.
Esta primera capa informativa deberá aparecer en todos los formularios con los que recojas datos personales de los usuarios. Esto es:
- Formularios de contacto o suscripción.
- Comentarios en entradas de tu blog.
- Formularios de reservas, inscripciones, etc.
Segunda capa: Documentación legal detallada
¿Qué debe constar en la segunda capa?
La información de esta segunda capa debe completar, con todo detalle, la información resumida y añadir información adicional, requerida por el RGPD, que no estaba en la primera capa.
Debe presentarse en una página específica de la web o como un documento descargable desde una URL.
De nuevo, el lenguaje usado debe ser claro, conciso y comprensible.
Así, en esta segunda capa deberá constar la información completa relativa a la Política de Privacidad, Política de Cookies y el Aviso Legal (esto último, siempre que la web tenga actividad comercial).
- Política de Privacidad
En este apartado se detallará cómo utiliza el responsable del tratamiento la información recopilada, la finalidad, durante cuánto tiempo los conservará, si se cederán a terceros, etc.
- Aviso y Política de Cookies
Desde el momento en que el usuario accede al sitio web deberá aparecer una advertencia de la existencia de las cookies y un botón para que el usuario dé su consentimiento, con un enlace a la página de la política de cookies, que deberá incluir información detallada relativa al uso cookies, propias o de terceros, y su finalidad.
- Aviso Legal
El Aviso Legal, sólo será necesario en caso de que en tu web exista una actividad comercial, es decir, si ofreces un determinado producto o servicio. Únicamente quedarán excluidos de esta obligación los blogs o webs que no realicen ningún tipo de actividad comercial.
Este apartado deberá contener información sobre el titular de la web, propiedad intelectual e industrial, responsabilidad sobre los contenidos, ley aplicable y tratamiento de datos personales de menores, entre otras.
La importancia de obtener consentimiento explícito.
Para poder cumplir con el RGPD deberemos obtener el consentimiento explícito del tratamiento de los datos, así como la aceptación de la política de privacidad.
Para ello tendremos que incluir una casilla de verificación en todos los formularios, con la cual los usuarios puedan dar su consentimiento explícito al tratamiento de sus datos para los fines que hemos expuesto (y sólo para esos fines).
Esta casilla de verificación deberá estar desactivada por defecto y ningún formulario podrá enviarse sin marcar esta casilla de verificación. En caso contrario, no se entenderá como consentimiento explícito. Habrá que almacenar estos consentimientos para poder demostrar que los usuarios han dado el consentimiento de forma voluntaria y explícita.
Y una cosa más, no se pueden colar más aceptaciones extra aprovechando la aceptación de las políticas legales.
Me explico: aunque un nuevo usuario deba aceptar las políticas legales, no puedes obligarle a que acepte recibir información comercial cuando se da de alta en tu web o blog o contrata un producto o servicio.
Si quieres darle la opción de recibir información comercial, debes incluir una casilla de verificación opcional específica para ello. Puedes ponerlo como se ve en la siguiente imagen. En este caso, al comprar un producto, se debía aceptar la clausula sobre protección de datos pero se debía permitir comprarlo sin autorizar el tratamiento de los datos para recibir información.
¿Y si he recopilado datos antes de la entrada en vigor del rgpd?
Si tus usuarios se registraron aceptando la política de privacidad de forma tácita (esto eran los textos del estilo “si sigues navegando por nuestra web, es que aceptas nuestra política de privacidad”), pues, simple y llanamente, debes volver a pedir el consentimiento, siempre que la legitimación se ampare en el consentimiento del usuario.
Además de adaptar todos los formularios de la web con los que vayas a recoger datos, también tendrás que pedir el consentimiento de tus usuarios si quieres seguir utilizando esos datos que hubieses recopilado antes de la entrada en vigor del RGPD.
Por ejemplo, puedes enviar correos a todos tus suscriptores y explicarles cómo les afectan los cambios de tu política de privacidad y darles la opción de renovar su suscripción mediante una aceptación explícita del uso que le vayas a dar a sus datos.
Sólamente si consigues un nuevo consentimiento voluntario, claro y explícito de tus antiguos suscriptores podrás seguir usando sus datos.
¿Qué podemos hacer por tu negocio?
La Agencia Española de Protección de Datos pone a tu disposición herramientas para que puedas adaptar tu negocio al Reglamento de Protección de Datos.
Pero, en caso de que no puedas encargarte de ello, en AFprodat te ofrecemos un servicio completo de implantación de la normativa de protección de datos tanto a tu negocio como a tu web, de forma rápida y sencilla.
Contacta con nosotros, explícanos tus necesidades y nosotros te ayudaremos con el cumplimiento de la normativa de Protección de datos.
También, si lo prefieres, tenemos a tu disposición nuestras Plantillas RGPD para que puedas adaptar tú mismo tu web, blog o tienda virtual de forma rápida y sencilla, con instrucciones precisas para que no te pierdas por el camino.
Artículos relacionados
