El pasado 25 de mayo empezó a ser obligatoria la aplicación del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas por el que se deroga la Directiva 95/46/CE (en adelante, RGPD). Así pues, esto conlleva a que como propietario de una web deba realizar un seguido de modificaciones.
¿Pero… qué modificaciones exactamente?
>¿Qué páginas web se verán afectadas?
En primer lugar, es necesario determinar si el tipo de página web que tengo se verá afectada por el RGPD. Así pues, solo lo estará si:
- trata y almacena direcciones IP de sus visitantes.
- dispone de una plataforma ecommerce.
- incluye un formulario de contacto o se incluye algún apartado para suscripciones o registros para newsletters.
- el web dispone de cookies que se utilizan para recabar datos de los usuarios que navegan por ella.
>Afectaciones concretas en la página web
En segundo lugar, si hemos determinado que recabamos datos con nuestra web, será necesario entender cómo nos afectan las nuevas obligaciones. Así pues, si recabamos: nombres y apellidos, direcciones, email, teléfono, fechas de nacimiento, datos bancarios, datos de, etc. tendremos que aplicar en mayor o menor medida el RGPD.
>Pasos a seguir
- Modificar o adecuar los formularios de la web: se establece el deber de informar en el momento en que se recaben los datos. Se deberá hacer siempre de forma previa a la recogida o registro de datos. Esto se conseguirá estableciendo en la web, la información básica sobre protección de datos de forma clara y con un lenguaje sencillo. Así mismo, también mencionar que las políticas de privacidad y políticas de cookies deberán ser actualizadas conforme al RGPD. No así los Avisos Legales o Condiciones de Uso o de Contratación, a no ser que incluyan alguna información sobre el tratamiento de datos.
- Adaptar todos los sistemas de recolección de datos: consiste en establecer la información por capas. En cada una de éstas se ofrecerá más información sobre el tratamiento de los datos de los interesados.
- Revisar complementos, plugins y demás añadidos: no sólo la página web deberá adecuarse a los requisitos del RGPD sino que también lo deberán hacer cualquiera de los servicios añadidos que trate datos de los usuarios.
- Renovar los elementos de consentimiento: todos los elementos presentes en la página web como cajas de consentimientos, permisos, formularios, etc., deberán ser revisados y si conviene, actualizados acorde con el RGPD.
>Contenidos que necesita la política de privacidad
La política de privacidad podríamos decir que es la versión web del deber de informar, una de las obligaciones del RGPD. En esta, se describe el uso que se va a dar a los datos personales recabados y tratados por el titular de la web.
Así pues, una buena política de privacidad debería contener lo siguiente:
- Los datos del Responsable del Tratamiento, que en principio coincidirá con el titular de la web.
- La finalidad para la cual los datos recabados van a ser tratados. Tener en cuenta si en la web se tratan datos para distintas finalidades.
- La legitimación para el tratamiento de los datos de los interesados.
- Los destinatarios de los datos, es decir, si vamos a ceder estos datos que recabamos.
- El periodo de tiempo durante el que los datos van a ser conservados.
- La posibilidad de que se transfieran los datos a otro país.
- Los derechos de los interesados ante el tratamiento de sus datos personales por el Responsable.
- El derecho de reclamar ante la autoridad de control competente.
> ¿Algo más?
Está claro que o todo es adecuar la página web. Sobretodo si detrás de la web hay una empresa, pero también si soy autónomo, deberé también cumplir otras obligaciones. El RGPD establece nuevas obligaciones para aquellas personas físicas y jurídicas que tratan datos personales de terceros.
En función del tipo de empresa y del tratamiento de datos que se realiza, se deberá valorar si nos afectan las siguientes obligaciones:
- Disponer de un Delegado de Protección de Datos.
- Tener un Registro de Actividades de Tratamiento.
- Analizar los riesgos para los derechos y libertades de los interesados.
- Tener en cuenta otros tratamientos de datos que se realicen fuera de la página web.
- Cumplir con el deber de informar.