El Reglamento General de Protección de Datos (RGPD) es una norma que empieza en Europa y que, aunque no lo creáis, se publicó en Mayo del 2016. Entonces se concedió un plazo de 2 años para que todas las empresas, autónomos y asociaciones en Europa, o cuyo ámbito de negocio transcurriese en Europa, se adaptaran a él. El caso es que el plazo termina este 24 de Mayo, y el 25 ya entra en vigor. Te ha pillado el toro ¿a que sí?. Pues si tu web o blog no cumplen con la nueva normativa para entonces, te podrías enfrentar a fuertes multas de

hasta 20 millones de euros (por Dios ¿cuantos ceros tiene eso?) o el 4% del total de tus ingresos por «cada» infracción.

Lo primero que debemos de saber es si estamos o no obligados a implementar esta normativa en nuestro site. Por dejarlo todo claro y simplificar la cosa, si tu empresa tiene actividad comercial la respuesta es sí, ya que está manipulando datos personales de tus clientes, y los almacena en una base de datos, que tienes la obligación de custodiar por la protección de los datos.

Qué debemos hacer para cumplir la norma

• Analiza el riesgo que corren los datos a la hora de protegerlos frente a ataques tanto físicos como informáticos. Esto lo deberá hacer alguien especialista en ciber seguridad.
• Revisa toda la documentación legal en referencia a la protección de datos: Avisos Legales, Política de Privacidad y Política de Cookies. De cara a las políticas de transparencia, estos documentos deben estar escritos de manera muy clara y accesible, haciendo énfasis en varias cosas:
  • Debe aparecer la identidad de la persona responsable de la gestión y protección de datos.
  • Explicar qué tipo de datos se están recogiendo y utilizando y con qué finalidad.
  • Especificar si existen procesos automatizados para la elaboración de perfiles de clientes, como puede ser Google Analytics.
  • Mostrar un aviso a las personas que nos van a pasar sus datos, ya sea en un formulario de contacto o por otro medio: entre otras cosas, hay que explicar a esas personas durante cuánto tiempo vamos a tener sus datos, o al menos el criterio para determinarlo. Y dejar un espacio reservado para que el usuario acceda o deniegue la acción mediante un checkbox.
  • Información acerca de los contratos con terceras empresas sobre la custodia y tratamiento de los datos de nuestros clientes, que les pasemos, por ejemplo para una campaña de mail marketing.
  • Cualquier cliente podrá acceder a sus datos para rectificarlos, eliminarlos o limitarlos.
  • Documento sobre las medidas de seguridad implementadas en la empresa, que debe de ir acompañado de dos cosas:
    • Mantenimiento de esas medidas, o sea, la persona encargada de que esas medidas se cumplan a diario o semanalmente, implementando un sistema de recuperación de datos.
    • Formación para todas aquellas personas que vayan a tener acceso a los datos.
• La forma en la que vas construyendo tu base de usuarios puede que no cumpla con la normativa, y en este caso debes pensar cómo solucionarlo. Me explico con un caso real: si has conseguido, en un evento o una feria, que un número de personas se inscriban en una lista para recibir información sobre tu negocio, ésto NO cumpliría con la normativa. Para remediarlo necesitaríamos un doble opt-in. Por ejemplo: el usuario se apunta a la lista en la feria y recibe un mail donde pueda confirmar (o no) su suscripción. O sea, si los correos, que has conseguido con tanto trabajo, han sido recopilados a través de procedimientos single opt-in, vas a tener que exprimirte la cabeza para conseguir que se apunten de nuevo mediante un método doble opt-in. En estos casos, yo sugeriría crear una nueva newsletter donde tus usuarios puedan dar (o no) el consentimiento explícito para estar en esa lista.
• Ubica todos los elementos informativos de manera que el usuario pueda acceder fácilmente a ellos, por ejemplo en el footer.

Más información en la Agencia Española de Protección de Datos, en la cual existe una herramienta online mediante la cual cualquier empresa puede hacer su evaluación de riesgos: Herramienta de Evaluación de Riesgos