Hoy tengo el placer de contar en mi blog con LEXblogger.
Suena a nombre de super héroe o algo así, ¿no? No va de eso el tema, aunque sin duda pueden salvarte de muchos problemas. Bajo ese nombre de marca lo que hay es un grupo de profesionales de diversos sectores pero todos ellos relacionados con temas de legalidad y enfocados en las buenas prácticas éticas y morales.
Hoy nos vienen a hablar de los cambios en los textos legales, pasando de la LOPD al RGPD. Todos esos temas que cuando emprendemos a la mayoría se nos escapan de las manos. Toma buena nota y evita futuros dolores de cabeza. 😉
(Este es un post invitado de LEXblogger)
En su momento, te pusiste las pilas y decidiste que la protección de datos debía formar parte de la estrategia de tu negocio.
Te pusiste en contacto con un consultor o investigaste para saber qué tenías que hacer para cumplir con todos los requisitos que te exigía la LOPD.
Ya has declarado los ficheros en la Agencia Española de Protección de Datos, tienes un documento con medidas de seguridad, has adecuado todos los textos legales de tu web y de tus formularios, has firmado los contratos de encargo de tratamiento con todos tus colaboradores.
Te has asegurado de que todas tus campañas de email marketing estén conformes a la LOPD y a LSSI.
Pero descubres que ahora tienes que cumplir con una nueva normativa europea de Protección de Datos, el RGPD, que exige cambios y define otros principios y retos en materia de protección de datos y te preguntas…
¿Y ahora qué?
¿Tengo que empezar de cero?
¿Me vale algo de todo lo que hice?
Tenemos una buena noticia para ti, todo lo que has hecho hasta ahora te sirve y mucho.
Debes saber que no empiezas de cero, pasas de un nivel de adecuación muy importante (si es que el trabajo se ha hecho a conciencia), pero has conseguido algo mucho más importante en lo que tienes una enorme ventaja: respetas a tus usuarios, te importa la imagen que proyectas en tus clientes y comunidad y te has comprometido en la defensa de los derechos de aquellos que confían en ti.
Y con eso tienes mucho terreno ganado, pero de poco sirve limitarse a cumplir de cara a la galería si no has entendido las repercusiones que tiene ese cumplimiento sobre tu propia marca.
Los cambios necesarios para pasar de la LOPD al RGPD
Hace poco tuvimos la suerte de colaborar con Semrush en un post en donde explicamos con todo detalle los principales cambios que deberá acometer todo profesional digital y cómo tener formularios legales y a prueba de penalizaciones.
Te recomendamos su lectura si quieres conocer en profundidad las principales novedades que introduce este nuevo reglamento, no obstante, y a modo de resumen, te vamos a explicar cómo puedes realizar la transición de la LOPD al RGPD.
1) Cláusulas informativas
Deberás revisar y actualizar las cláusulas informativas que tienes desarrolladas e implantadas en los formularios de recogida de datos, los textos legales de tu web y cualquier otro texto y/o formulario que contenga la cláusula del deber de información, incorporando el siguiente contenido:
- Los datos de contacto del DPO si procediera.
- Especificar el interés legítimo en el tratamiento de esos datos.
- Indicar el plazo de conservación de los datos, o cuando no sea posible, los criterios utilizados para determinar dicho plazo.
2) Desarrollar y/o actualizar el documento de seguridad
Ahora necesitarás un modelo del registro de actividades de tratamiento, una mezcla entre tu declaración de ficheros y tu documento de seguridad.
En el registro de tratamiento deben constan los siguientes puntos:
- Finalidad del tratamiento.
- Descripción de las categorías de empleados y de las categorías de datos personales.
- Categorías de datos personales.
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
También deberás tener un anexo con recomendaciones sobre medidas de seguridad de tipo técnico y organizativo para los tratamientos de datos personales, siempre y cuando se trate de información de bajo riesgo que debes implantar en tu negocio.
En caso de que realices tratamiento intensivo de datos personales, elabores perfiles o gestiones información sensible, deberás además realizar un análisis de riesgo previo que te ayude a establecer las medidas de seguridad oportunas en función al riesgo detectado.
3) Revisar las formas de obtener el consentimiento
Es preciso que actualices las cláusulas y textos legales con lo que requieres el consentimiento y revises los procedimientos que estás utilizando para obtenerlo.
Recuerda que el RGPD ya no admite el consentimiento tácito o por defecto, deberá ser expreso, por lo que deberías asegurarte que siempre que requieres información personal, estás informando de forma específica sobre todo lo que atañe a ese tratamiento y recogiendo el consentimiento de forma inequívoca, expresa y clara.
Para eso, es importante la inclusión de una cláusula informativa a pie de formulario y un chek box que de las opciones de «SI» o «NO».
4) Revisar el procedimiento de gestión de atención de ejercicios de derechos (ARCO) e incorporar el procedimiento para el ejercicio del derecho al olvido y el derecho a la portabilidad.
La actual LOPD solo exigía 4 modelos de ejercicios de derecho, Acceso, Rectificación, Cancelación y Oposición. En nuevo RGPD exige algunos más, como el derecho de portabilidad y el derecho de olvido.
No será tu caso seguramente, pero muchas empresas deberán incorporar modelos de contestación del ejercicio de derechos de portabilidad de los datos y los correspondientes al derecho al olvido.
¿Y qué pasa con los boletines?
Los boletines o NewsLetters son el mayor tesoro para todos los que trabajamos el mail marketing, es la herramienta que nos permite conectar con nuestros suscriptores y generar conversiones ¿Cómo conseguir que cumpla todos los requisitos?
Para facilitarte ese ajuste, te hemos preparado una lista de comprobación, deberás cumplir con todos estos principios para tener tus campañas y tu boletín saneados y ajustados 100% a lo que dictan las nuevas reglas de la protección de datos.
CHECK LIST PARA UNA CAMPAÑA DE EMAIL MARKETING:
☐ Mandas tus boletines solo a las personas que te han dado su consentimiento expreso con ese envió y puedes acreditar ese consentimiento de forma efectiva si te fuera requerido.
☐ Siempre que mandas un nuevo boletín o una promoción, te aseguras de informar de tu identidad, de la finalidad de la información capturada, el tipo de tratamiento que vas a realizar, el plazo de conservación y de cómo los destinatarios pueden ejercitar derechos.
☐ Tienes perfectamente desarrollada tu política de privacidad en base a tu operativa de trabajo y el tipo de gestión de datos personales que realizas en tu web.
☐ No mandas nunca correos comerciales o promocionales a contactos de redes sociales.
☐ Siempre ofreces a los destinatarios un mecanismo para revocar el consentimiento previo y darte de baja de forma automática.
☐ Te aseguras siempre de validar las direcciones de tus suscriptores mediante un sistema doble opt-in.
☐ Nunca mandas correos multirremitente sin copia oculta..
☐ Nunca cedes datos personales a terceros sin el consentimiento expreso de los titulares.
☐ Te aseguras de que tus plataformas y servicios con terceros sean europeos y cumplan la legalidad en materia de protección de datos (hosting, plataformas email-marketing, plugins de captación de leads, etc.)
¿Cómo puedes realizar esta transición sin sobresaltos?
Aquí tienes todo lo que necesitas para que tu paso de la LOPD al RGPD sea una transición perfecta, rigurosa y sin complicaciones.
El respeto al dato y la cultura de protección de datos forman parte de nuestro ADN, seremos tus mejores aliados, si quieres tenernos cerca.
3 comentarios en “¿Qué supone pasar de la LOPD al RGPD y cómo puedo hacerlo?”
Llevo actualizando webs y adaptando formularios desde hace más de 2 meses… Ahora me llega la hora de volver a enviar campañas a mis suscriptores, pero me queda la duda de cómo hacer que QUIENES YA ESTÁN SUSCRITOS me dejen su consentimiento. Mi idea era mandar un primer email para solicitárselo, y a partir de ahí continuar con mis campañas, dejando fuera y eliminando todos los que no acepten, pero no encuentro cómo narices se hace eso en Active Campaign, Capaz que lo tengo delante y no lo veo, he dado tantas vueltas ya… SI me puedes indicar, me haces un favorazo.
Gracias, Omar!
Buenas Dan,
ese punto lo tengo abordardo en mi guia de adaptación al RGPD: https://www.haciaelautoempleo.com/rgpd-adaptar-tu-web/
Además con Active Campaign, espero que te sirva 😉
Ojo, hay muchas formas de hacerlo (porque es «artesanal» digamos), yo explico cómo lo hice en mi caso.
Un abrazo.
Hola! me gustaría saber cómo has añadido la coletilla legal en la parte de los comentarios. ¿Existe algún pluggin gratuito?
Finalidad » gestionar los comentarios.
Legitimación » tu consentimiento.
Destinatarios » los datos que me facilitas estarán ubicados en los servidores de Webempresa (proveedor de hosting de Haciaelautoempleo) dentro de la UE. Ver política de privacidad de Webempresa. (https://www.webempresa.com/aviso-legal.html).
Derechos » podrás ejercer tus derechos, entre otros, a acceder, rectificar, limitar y suprimir tus datos.