¿Cómo afecta a tu blog el nuevo reglamento RGPD, en materia de protección de datos? ¿Estás preparado? ¿Sabías que si tienes un formulario de captura de datos en tu blog, por ejemplo para tu newsletter, estabas obligado a cumplir la antigua LOPD y, ahora el RGPD? En este artículo te apuntamos lo que debes hacer para cumplir con la RGPD y la protección de datos en tu blog.
¿Qué yo tengo que cumplir el RGPD? OMG
Qué es el nuevo reglamento general de protección de datos RGPD
El nuevo Reglamento General de Protección de Datos RGPD, aprobado por la Unión Europea sustituye a la LOPD, y su entrada en vigor es inmediata, toda vez que será de obligado cumplimiento a los dos años de su puesta en marcha; es decir, en el mes de mayo de 2018.
El objetivo de esta ley es que los usuarios, de cualquier sistema que almacene datos personales, tengan más poder sobre ellos en Internet.
La norma es común a todos los países de la Unión Europea pero debe ser interpretada a nivel nacional.
Cómo cumplir el reglamento europeo de protección de datos RGPD en tu blog
WTF ¿Y qué tengo que hacer?
Nuestro artículo de Blogpocket Cómo cumplir la LOPD y LSSI en un blog está claramente obsoleto. Pero, aún así, te recomiendo que lo leas para que te sitúes en la importancia que tiene el aspecto de la protección de datos, para el dueño de un blog, si captura datos de caracter personal.
A grandes rasgos, los sitios más habituales de un blog en los que se capturan datos de carácter personal son:
- Comentarios. Si usas un sistema de comentarios de tu blog y capturas datos personales como el nombre, el mail o el sitio Web; además del texto del comentario, te ves afectado.
- Formulario de contacto. En los formulario de contacto se suele capturar el email del usuario y su nombre.
- Captura de suscriptores. Para poder enviar boletines de noticias y mensajes variados, como estrategia de email marketing, la estrategia es solicitar el email (y el nombre) de tus usuarios, a través de un formulario.
Este sería el caso más simple. Pero es el que me interesa resolver en primera instancia. Por supuesto, si el sitio Web posee un carrito de compra, en el que se capturan datos personales, también hay que cumplir el RGPD. Sin embargo, lo que busco es informar al blogger «corriente». Ese que posee un blog sin propósito comercial y que solo captura datos para que los usuarios comenten los artículos que publica, con el fin de recibir un mensaje de contacto o para llevar a cabo una estrategia de email marketing, como puede ser el envío de una newsletter con las últimas actualizaciones del blog.
¿Tienes un blog y capturas datos personales? Debes cumplir el reglamento general de protección de datos RGPD.
Vamos a ver, a continuación, los pasos concretos que debes realizar.
1. Generar los documentos legales.
¿Documentos legales? ¿Qué es eso?
Para empezar, tus usuarios deben poder acceder fácilmente a la información legal relacionada con tu blog. Por ejemplo, la política de privacidad.
En un próximo post de Blogpocket se indicará exactamente qué documentos concretos debes proporcionar en tu blog y qué tipo de contenido debe incluir. Blogpocket cumple la LOPD y puedes echar un vistazo tanto a nuestro Aviso Legal como a nuestra Política de privacidad.
Pero no estoy seguro de que cumpla el RGPD rigurosamente. Estamos trabajando, a marchas forzadas, para poder ofrecerte toda la información clara y precisa.
En este sentido, lo único que puedo recomendarte es la lectura del siguiente post de LexBlogger, con Los principales cambios que introduce el nuevo reglamento europeo de protección de datos RGPD: ¿Es mi blog legal? – Como legalizar mi blog paso a paso – Guía completa. El único que he encontrado, con información más acertada y cercana a la que yo quiero dar aquí.
Para que te hagas una idea de las acciones a realizar y la documentación a obtener, la Agencia española de protección de datos (AEPD) pone a disposición de todos los interesados una herramienta denominada Facilita Régimen General Protección de datos. La finalidad de esta utilidad online es facilitar la adecuación al RGPD a las empresas y profesionales (responsables o encargados de tratamientos) que traten datos personales de escaso riesgo para los derechos y libertades de las personas.
He publicado un pequeño tutorial sobre esta herramienta en: Blogs vs Régimen General Protección de datos (I).
2. Modificar los formularios de captura de datos.
¿Consentimiento explícito? ¡No me digas!
Básicamente, no serán legales los formularios (bien si aparecen en pop-ups o en el sidebar o al pie de los posts) que no incluyan el checkbox solicitando explícitamente si el usuario acepta la política de privacidad. Además hay que añadir un texto con el resumen del tratamiento que se realizará, como se explica en el post de LexBlogger que indiqué anteriormente.
En Blogpocket sabemos cómo puedes añadir ese checkbox en los formularios de contacto o, incluso, en los de captura de suscriptores: Trucos de Contact Form 7 para WordPress: formularios de contacto fáciles. Y también para añadirlo en los comentarios, con el plugin LOPD en los comentarios. Pero, en este último caso no hay forma de almacenar el valor del checkbox en ningún sitio.
La pregunta del millón es si será necesario guardar el valor de dicho checkbox (y otros como la IP). Es decir; servirá con añadir ese checkbox en los formularios o, además, habrá que archivar el valor para el caso de poder demostrar la adhesión del usuario a nuestra política de privacidad.
Eso es un problema añadido, en el caso de los suscriptores que ya pertenecen a nuestra lista de correo y que forman parte de esta antes de que modifiquemos los formularios de acuerdo al RGPD.
Según LexBlogger el consentimiento debe ser verificable; es decir, debes poder acreditar que lo has obtenido. Esto implicará guardar el valor del checkbox. Pero ¿qué sucede con los suscriptores anteriores al cambio?
3. Actualizar tu lista de correo
¿Crear otra vez mi lista de correo? ¡Ahora que tenía 10.000 suscriptores!
El consentimiento tácito que has estado utilizando hasta ahora no sirve, no es legal. Esto parece claro, según el post de LexBlogger al que ya nos hemos referido en este artículo en varias ocasiones; y que me parece el más claro de todas las fuentes que he consultado sobre el asunto.
Según ello, habrá que volver a pedir a todos los suscriptores que vuelvan a acreditar el consentimiento de la forma que se ha expuesto en el punto 2. Sí, la forma más fácil parece ser un boletín (o varios) invitando a acudir al nuevo formulario para que se realice una nueva suscripción. Tal vez un nuevo, y buen, regalo sirva para animar a los suscriptores a realizar una nueva adhesión a tu comunidad y obtener el consentimiento explícito.
Ciertamente traumático, como se dice en el post de LexBlogger, pero posiblemente posea su parte positiva: nos servirá para limpiar la lista y obtener una mucho más cualificada.
Todas estas dudas están perfectamente explicadas en el siguiente post, también de LexBlogger: ¿Estás dispuesto a perder tu lista de suscriptores? – El consentimiento
Conclusiones
¡Menos mal que tenemos a Blogpocket!
He encontrado mucha información sobre el cambio de LOPD a RGPD. Pero la mayoría es demasiado confusa o superficial como para que todos los bloggers sepamos la manera de afrontar el nuevo reglamento de protección de datos.
La mayoría de los bloggers no saben añadir un checkbox a sus formularios de captura de datos. ¿Qué tiene que hacer un usuario corriente de la plataforma Blogger que posee una newsletter en su blog personal (capturando nombre y email)? Hasta ahora simplemente tenía que utilizar un widget nativo que implementaba un formulario. Sin embargo, ese widget no posee la función de checkbox para el consentimiento explícito.
Muchos plugins, widgets y servicios de terceros no están preparados para este cambio.
Quedan pocos meses para que la nueva ley entre a funcionar a pleno rendimiento. Y se anuncian multas cuantiosas.
En Blogpocket no nos conformamos con una información superficial sobre este asunto de tanta importancia. Y estamos trabajando duro para poder explicarte claramente lo que tienes que hacer.
Este artículo es un primer paso, en el que además de plantear el problema, se dan las claves para cumplir la protección de datos y el RGPD en tu blog. Pero ya estamos trabajando y elaborando un segundo post en el que se explicará en profundidad los pasos a seguir.
Si tienes información precisa sobre las dudas que se han planteado aquí, te agradezco que la expongas en los comentarios; me envíes un email.
Comparte este post en tu blog o en las redes sociales.
Deja una respuesta