RGPD y LOPD: cómo cumplir la protección de datos en tu blog

¿Eres blogger y no sabes qué es el RGPD? Tu blog puede incumplir la ley de protección de datos. Aquí te decimos qué tienes que hacer.

RGPD-BLOGS RGPD y LOPD: cómo cumplir la protección de datos en tu blog

¿Cómo afecta a tu blog el nuevo reglamento RGPD, en materia de protección de datos? ¿Estás preparado? ¿Sabías que si tienes un formulario de captura de datos en tu blog, por ejemplo para tu newsletter, estabas obligado a cumplir la antigua LOPD y, ahora el RGPD? En este artículo te apuntamos lo que debes hacer para cumplir con la RGPD y la protección de datos en tu blog.

¿Qué yo tengo que cumplir el RGPD? OMG

Qué es el nuevo reglamento general de protección de datos RGPD

El nuevo Reglamento General de Protección de Datos RGPD, aprobado por la Unión Europea sustituye a la LOPD, y su entrada en vigor es inmediata, toda vez que será de obligado cumplimiento a los dos años de su puesta en marcha; es decir, en el mes de mayo de 2018.

El objetivo de esta ley es que los usuarios, de cualquier sistema que almacene datos personales, tengan más poder sobre ellos en Internet.

La norma es común a todos los países de la Unión Europea pero debe ser interpretada a nivel nacional.

Cómo cumplir el reglamento europeo de protección de datos RGPD en tu blog

WTF ¿Y qué tengo que hacer?

Nuestro artículo de Blogpocket Cómo cumplir la LOPD y LSSI en un blog está claramente obsoleto. Pero, aún así, te recomiendo que lo leas para que te sitúes en la importancia que tiene el aspecto de la protección de datos, para el dueño de un blog, si captura datos de caracter personal.

A grandes rasgos, los sitios más habituales de un blog en los que se capturan datos de carácter personal son:

  • Comentarios. Si usas un sistema de comentarios de tu blog y capturas datos personales como el nombre, el mail o el sitio Web; además del texto del comentario, te ves afectado.
  • Formulario de contacto. En los formulario de contacto se suele capturar el email del usuario y su nombre.
  • Captura de suscriptores. Para poder enviar boletines de noticias y mensajes variados, como estrategia de email marketing, la estrategia es solicitar el email (y el nombre) de tus usuarios, a través de un formulario.

Este sería el caso más simple. Pero es el que me interesa resolver en primera instancia. Por supuesto, si el sitio Web posee un carrito de compra, en el que se capturan datos personales, también hay que cumplir el RGPD. Sin embargo, lo que busco es informar al blogger «corriente». Ese que posee un blog sin propósito comercial y que solo captura datos para que los usuarios comenten los artículos que publica, con el fin de recibir un mensaje de contacto o para llevar a cabo una estrategia de email marketing, como puede ser el envío de una newsletter con las últimas actualizaciones del blog.

¿Tienes un blog y capturas datos personales? Debes cumplir el reglamento general de protección de datos RGPD.

Vamos a ver, a continuación, los pasos concretos que debes realizar.

1. Generar los documentos legales.

¿Documentos legales? ¿Qué es eso?

Para empezar, tus usuarios deben poder acceder fácilmente a la información legal relacionada con tu blog. Por ejemplo, la política de privacidad.

En un próximo post de Blogpocket se indicará exactamente qué documentos concretos debes proporcionar en tu blog y qué tipo de contenido debe incluir. Blogpocket cumple la LOPD y puedes echar un vistazo tanto a nuestro Aviso Legal como a nuestra Política de privacidad.

Pero no estoy seguro de que cumpla el RGPD rigurosamente. Estamos trabajando, a marchas forzadas, para poder ofrecerte toda la información clara y precisa.

En este sentido, lo único que puedo recomendarte es la lectura del siguiente post de LexBlogger, con Los principales cambios que introduce el nuevo reglamento europeo de protección de datos RGPD: ¿Es mi blog legal? – Como legalizar mi blog paso a paso – Guía completa. El único que he encontrado, con información más acertada y cercana a la que yo quiero dar aquí.

Para que te hagas una idea de las acciones a realizar y la documentación a obtener, la Agencia española de protección de datos (AEPD) pone a disposición de todos los interesados una herramienta denominada Facilita Régimen General Protección de datos. La finalidad de esta utilidad online es facilitar la adecuación al RGPD a las empresas y profesionales (responsables o encargados de tratamientos) que traten datos personales de escaso riesgo para los derechos y libertades de las personas.

He publicado un pequeño tutorial sobre esta herramienta en: Blogs vs Régimen General Protección de datos (I).

2. Modificar los formularios de captura de datos.

¿Consentimiento explícito? ¡No me digas!

Básicamente, no serán legales los formularios (bien si aparecen en pop-ups o en el sidebar o al pie de los posts) que no incluyan el checkbox solicitando explícitamente si el usuario acepta la política de privacidad. Además hay que añadir un texto con el resumen del tratamiento que se realizará, como se explica en el post de LexBlogger que indiqué anteriormente.

En Blogpocket sabemos cómo puedes añadir ese checkbox en los formularios de contacto o, incluso, en los de captura de suscriptores: Trucos de Contact Form 7 para WordPress: formularios de contacto fáciles. Y también para añadirlo en los comentarios, con el plugin LOPD en los comentarios. Pero, en este último caso no hay forma de almacenar el valor del checkbox en ningún sitio.

La pregunta del millón es si será necesario guardar el valor de dicho checkbox (y otros como la IP). Es decir; servirá con añadir ese checkbox en los formularios o, además, habrá que archivar el valor para el caso de poder demostrar la adhesión del usuario a nuestra política de privacidad.

Eso es un problema añadido, en el caso de los suscriptores que ya pertenecen a nuestra lista de correo y que forman parte de esta antes de que modifiquemos los formularios de acuerdo al RGPD.

Según LexBlogger el consentimiento debe ser verificable; es decir, debes poder acreditar que lo has obtenido. Esto implicará guardar el valor del checkbox. Pero ¿qué sucede con los suscriptores anteriores al cambio?

3. Actualizar tu lista de correo

¿Crear otra vez mi lista de correo? ¡Ahora que tenía 10.000 suscriptores!

El consentimiento tácito que has estado utilizando hasta ahora no sirve, no es legal. Esto parece claro, según el post de LexBlogger al que ya nos hemos referido en este artículo en varias ocasiones; y que me parece el más claro de todas las fuentes que he consultado sobre el asunto.

Según ello, habrá que volver a pedir a todos los suscriptores que vuelvan a acreditar el consentimiento de la forma que se ha expuesto en el punto 2. Sí, la forma más fácil parece ser un boletín (o varios) invitando a acudir al nuevo formulario para que se realice una nueva suscripción. Tal vez un nuevo, y buen, regalo sirva para animar a los suscriptores a realizar una nueva adhesión a tu comunidad y obtener el consentimiento explícito.

Ciertamente traumático, como se dice en el post de LexBlogger, pero posiblemente posea su parte positiva: nos servirá para limpiar la lista y obtener una mucho más cualificada.

Todas estas dudas están perfectamente explicadas en el siguiente post, también de LexBlogger: ¿Estás dispuesto a perder tu lista de suscriptores? – El consentimiento

Conclusiones

¡Menos mal que tenemos a Blogpocket!

He encontrado mucha información sobre el cambio de LOPD a RGPD. Pero la mayoría es demasiado confusa o superficial como para que todos los bloggers sepamos la manera de afrontar el nuevo reglamento de protección de datos.

La mayoría de los bloggers no saben añadir un checkbox a sus formularios de captura de datos. ¿Qué tiene que hacer un usuario corriente de la plataforma Blogger que posee una newsletter en su blog personal (capturando nombre y email)? Hasta ahora simplemente tenía que utilizar un widget nativo que implementaba un formulario. Sin embargo, ese widget no posee la función de checkbox para el consentimiento explícito.

Muchos plugins, widgets y servicios de terceros no están preparados para este cambio.

Quedan pocos meses para que la nueva ley entre a funcionar a pleno rendimiento. Y se anuncian multas cuantiosas.

En Blogpocket no nos conformamos con una información superficial sobre este asunto de tanta importancia. Y estamos trabajando duro para poder explicarte claramente lo que tienes que hacer.

Este artículo es un primer paso, en el que además de plantear el problema, se dan las claves para cumplir la protección de datos y el RGPD en tu blog. Pero ya estamos trabajando y elaborando un segundo post en el que se explicará en profundidad los pasos a seguir.

Si tienes información precisa sobre las dudas que se han planteado aquí, te agradezco que la expongas en los comentarios; me envíes un email.

Comparte este post en tu blog o en las redes sociales.

¿Estás buscando hosting?
SiteGround es el hosting de Blogpocket ¡pruébalo!:SITEGROUND-EL-HOSTING-QUE-ME-GUSTA RGPD y LOPD: cómo cumplir la protección de datos en tu blog

22 comentarios

  1. Muy buen artículo y muy interesante. Ya conocía el artículo de LexBlogger y estoy muy de acuerdo contigo que, es uno de los mejores y más bien explicados que también he encontrado al respecto.
    Muchas gracias Antonio

  2. Hola Antonio, buenos días
    Está muy bien la manera en que enfocas cómo se ha de cumplir con la normativa de protección de datos europea, y la nueva LOPD que viene a final o primeros de año. Es importante decir las cosas claras y en estos temas legales lo mejor es saber llegar a la gente con un mensaje claro y sencillo.
    En líneas generales, lo que se intenta es que la información sea más comprensible, que la seguridad sobre el tratamiento de los datos sea más práctica y menos formal y reforzar los derechos de las personas que facilitan los datos.
    En ese sentido, se ha previsto que los textos legales tengan como dos capas, de manera similar a la info sobre cookies, pero sin que tenga que aparecer un pluggin horroroso que se come media web (de hecho, tampoco es necesario hacerlo así en las cookies, pero es lo más socorrido).
    Los textos que tienes no acabarían de estar adaptados, es cierto, pero bueno es que trabajes en ello!!! (lo de la info en capas, que el enlace de aquí abajo todavía no esté activado…)
    Nosotros también estamos en fase de adaptación. Los textos cumplen la normativa, ahora nos falta conseguir que la primera capa se integre mejor en la web.
    De todos modos, te paso el enlace por si te sirve: http://www.ortsconsultores.es/#contact
    Saludos y animarte a que sigas con tu labor!!! Enhorabuena

    • Gracias Álvaro por tu aportación. Ya he corregido lo del link a la política de privacidad en los comentarios, que había una errata en la URL. Muchas gracias por advertir ese error. Saludos :))

    • Las consecuencias reales no las sabremos hasta el 25 de mayo de 2018. Se supone que es la AEPD quien gestionará las penalizaciones. Pero no soy abogado ni consultor legal. Solamente sé lo que hay que hacer a nivel técnico. Gracias por el comentario. Un saludo :))

  3. Muchas gracias por este claro artículo. Me pregunto ahora si hace falta notificar el «fichero» a la AEPD o si eso ya no es necesario al construir desde cero una web que recoge datos. MUCHAS gracias de antemano,

    Anna

  4. Genial artículo. Pero no encuentro ningún pluggin para poner la «información básica sobre Protección de Datos»en los comentarios. ¿Cuál recomiendas? si es posible gratuito.

    Muchas gracias por tu aportación!

    • Hola Mariona, para WordPress hay un plugin, que es el que yo uso, y es «RGPD en los comentarios». Es de pago pero además de facilitar el que se muestre el checkbox y la coletilla legal, se guarda la información en la Base de Datos de WP, fundamental a efectos de verificación legal. Un saludo.

  5. Hola,

    Antes de nada darte las gracias por currarte estas pedazo de guías para adaptar una web a la RGPD, pero tengo una duda que no veo por ningún lado y no se si es que será un poco absurda.

    Si yo solo tengo el formulario de comentarios del blog y lo dejo solo con el nombre y el mensaje estoy recogiendo datos personales?(incluida la IP que registra wordpress automáticamente cuando te hacen un comentario). Teniendo el cuenta que el nombre no tiene ni porque ser real, puede ser un nick perfectamente.

    Y en caso de ser afirmativa tu respuesta, si quito también la casilla con el nombre y dejo solo el texto del mensaje para que todos los comentarios sean anónimos?

    Muchas gracias de antemano

    Un saludo

    • Hola Agustín. La dirección IP es un dato personal básico no de riesgo. Por lo tanto, aunque solo dejes la caja de texto, debes pedir el consentimiento explícito del usuario para el tratamiento de datos, con checkbox y enlace a la política de privacidad y resumen de tu política de privacidad, como primera capa informativa. Un saludo :))

  6. Hola,

    Perdón no me he expresado bien, la IP tampoco la recojo. Hay un hook de WordPress para evitar que pille las IPs.

    Aún así de tu respuesta entiendo que el nombre es un dato personal. Tampoco puedo dejar los comentarios sin que aparezca el nombre de la persona que los hace así que tendré que incluir la dichosa capa de información.

    Por otra parte, ¿No te parece un atropello esta ley para la privacidad del blogger?. ¿Nosotros no tenemos derecho a proteger nuestros datos? Por el simple hecho de tener un blog ya tienes que poner tu nombre en todas partes, tu DNI, la dirección donde vives… No se llamadme loco pero creo que para dar derechos a unos pisotean los derechos de otros.

    Un saludo

  7. Gracias por toda la información, me encanta como lo explicas todo. Me gustaría saber en que consisten las sanciones, quien controla que esto se cumpla y que consecuencias reales hay. Un saludo y muchas gracias

    • Las sanciones son cuantiosas para los delitos graves (se supone que empresas que roban o ceden datos sin permiso y cosas así). Pero la ley obliga a todo el mundo. Supongo que no es lo mismo un blogger personal que vende un infoproducto y no cumple el RGPD que una empresa tipo grandes almacenes. ¿Quién controla? la Agencia Española De Protección de Datos (AEPD), en España. Cada país tiene su propia agencia. Las consecuencias reales para bloggers personales que capturan datos para cuestiones «menores» (como puede ser un formulario de contacto, una newsletter, las cookies, etc.) están por ver. Deszconozco si ya hay casos de este tipo. Pero indudablemente si tienes un blog o sitio web con captura de datos personales debes cumplir el RGPD aunque no tengas propósito comercial o seas, simplemente, un blogger personal. Un saludo 🙂

  8. Muy buen artículo esta perfectamente redactado solo habría que incluir alguna pequeña «alteración» con la nueva normativa actualmente vigente entrada en vigor el paso año em el mes de Mayo.
    Toda empresa sea grande o pequeña ha de cumplir con esta normativa de Protección de datos. Muy buena recomendación además del plugin de pago para WordPress «RGPD en los comentarios» muy recomendable. Un saludo

Deja un comentario

Ver más

  • Responsable: Antonio Cambronero.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a SiteGround que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Ir al contenido