Cómo adaptar mi web a las nuevas normas de Protección de Datos

El nuevo Reglamento General de Protección de Datos, de obligado cumplimiento y conocido por sus siglas en inglés como GDPR,  entró en vigor el pasado 25 de mayo.

¿A quién afecta el RGPD?

Las personas, profesionales, entidades, empresas u organizaciones establecidas en Europa que traten datos de carácter personal son sujetos obligados de este nuevo reglamento y deben adecuarse correctamente. También obliga a los responsables o encargados del tratamiento de datos que no se encuentren establecidos en la UE pero realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE.

¿Cómo puedo adaptar mi web a las nuevas obligaciones del RGPD?

En esta ocasión no es suficiente copiar y pegar largos textos de letra pequeña.  Será necesario estudiar las características propias de cada actividad. Confirmar el tipo de datos que se tratan, cómo se obtienen, cómo se transfieren, dónde y cómo se almacenan, cuándo se eliminan.

Una vez que el responsable dispone de esta información detallada sobre los datos tratados, se pueden realizar los documentos requeridos con la redacción adecuada.  Desde 3w2 podemos ofrecerte una buena orientación pero en los detalles, dependiendo del tipo de datos, de su volumen o circunstancias, puede ser necesaria la consulta y colaboración de un experto.

Con los textos redactados se crean las páginas que servirán para mostrar con facilidad a los visitantes toda la información que requiere el Reglamento. Estas páginas son:

  • Política de Privacidad
  • Política de Cookies
  • Términos y Condiciones de Uso

Entrando en las modificaciones en la web, lo primero será instalar un aviso sobre las cookies para todos los visitantes del sitio. A través de este aviso hay que ofrecer al visitante la opción de acceder a más información sobre la cookies utilizadas y los mecanismos para poder modificarlas.

El consentimiento debe ser “inequívoco”

En el aviso se presentará un enlace de fácil acceso a la Política de Cookies en la que el usuario podrá encontrar una lista detallada de las cookies utilizadas, con su denominación y una explicación sobre su uso. La información deberá proporcionarse de forma concisa, transparente, inteligible y en un lenguaje claro y sencillo.  Si con esta información, el usuario está conforme, puede aceptar el uso de las cookies con alguna acción que demuestre su consentimiento.

En todos los formularios de contacto, de registro, compras, suscripciones y en todos los mecanismos de captura de datos se instalarán casillas de aceptación, que no pueden encontrarse premarcadas, y que se acompañarán con enlaces a la información relacionada con la solicitud de los datos, como la política de privacidad para boletines, términos y condiciones de de uso para la venta de productos, etc.   Los requisitos de aceptación serán únicos por petición y no pueden mezclarse. También se presentarán de forma clara y sencilla, acompañados por un texto adicional que informe sobre quién es el responsable de los datos, la finalidad de la captura, legitimación, destino y derechos del usuario, con enlaces visibles a la información completa relacionada.

Por qué es necesario obtener correctamente el consentimiento

Los responsables que no cumplan con la obtención del consentimiento, pueden ser sancionados y además enfrentarse a importantes reclamaciones de responsabilidad civil en favor del afectado.

El nuevo Reglamento NO admite el consentimiento tácito o sobreentendido.

En el artículo 4.11, se define con precisión el consentimiento como toda aquella manifestación de voluntad libre, específica, informada e inequívoca a través de la cual un interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Será necesario el consentimiento expreso para tratar los siguientes datos:

  • Categorías especiales de datos (Art. 9).
  • Transferencias internacionales de datos (Art. 49).
  • Decisiones individuales automatizadas (Art. 22).

El consentimiento expreso se puede obtener a través de una declaración escrita firmada por el interesado. También con  la firma electrónica. Este proceso elimina las dudas y confirma la evidencia del consentimiento expreso.

Porqué es necesario un registro

Será necesario crear un registro para que el responsable pueda gestionar los datos obtenidos y poder demostrar la aceptación del usuario. Éste registro es obligatorio y será necesario en casos de reclamación o inspecciones.

El consentimiento debe ser acreditable gracias al principio de accountability (responsabilidad proactiva). Los responsables tienen que acreditar y documentar lo siguiente:

  • Quién otorgó el consentimiento
    Identificación del titular de los datos por su nombre o elementos identificables, demostrando si se ha revocado o no el consentimiento. En caso de que se revoque, se tiene que demostrar cuándo fue revocado.
  • Cuándo y cómo se otorgó el consentimiento
    Si el consentimiento se ha tramitado online es necesario obtenerlo con el sello de tiempo. Si fue  obtenido en escrito offline hay que disponer de copia del documento en el que se refleja el consentimiento con sus cláusulas informativas. con fecha y la firma del interesado.
  • Qué información se ofreció al solicitar la aceptación del consentimiento
    Para cumplir con el principio  de mayor información es necesario ofrecer un modelo por capas. Una primera capa con la información básica fácilmente visible y una segunda capa de información adicional detallada.

Es obligatorio guardar copia del formulario utilizado para obtener los datos o copia del sistema de captura de datos, con la información proporcionada al dueño de los datos. En los formularios online se deben guardar capturas de las capas informativas con sus sellos de tiempo.  En formularios offline se debe tener el documento en papel, con la fecha y la firma del dueño de los datos, y las cláusulas informativas ofreidas.

En procesos de correo electrónico de verificación para confirmaciones de alta o suscripción  tipo “doble opt-in” se tienen que insertar las capas informativas y crear y guardar las capturas del proceso.


3w2 te ofrece un servicio de adaptación web para facilitar el cumplimiento de la normativa europea en materia de protección de datos.      Contratar