Ciberseguridad: Protección de datos personales en eCommerce
Las empresas que se dedican al eCommerce, especialmente aquellas que se encuentran en una fase inicial, suelen contar con una serie de prioridades tales como la estética de la tienda, el proceso de checkout o procesado de la compra, la gestión de redes sociales, etc. Todas estas cuestiones son relevantes, pero llevar a cabo una gestión adecuada de los datos personales de los clientes también lo es, ya que ofrecerá diversos beneficios al comercio, además de evitar posibles sanciones legales por su incumplimiento.
(más…)Nueva ley de protección de datos: ¿está tu web preparada?
¿Hay una nueva ley de protección de datos (LOPD)? Sí, así es.
Si como en mi caso te mueves en el mundo digital deberás ponerte al tanto con la nueva ley de protección de datos del 2018.
Los temas legales en las páginas web o en los blogs son esos grandes desconocidos para los marketeros y bloggers, que por lo general nos centramos más en la generación de contenidos, el SEO y otros aspectos de nuestros sites.
Sin embargo, la importancia de tener unos textos legales completamente actualizados a la normativa cobra más importancia si cabe con estos nuevos cambios legales en 2018.
Como marketero digital, ¿qué he de saber de esta nueva ley de protección de datos?
Debemos tener en cuenta que en general se trata de una normativa que amplía la anterior ley y que afecta principalmente a aspectos como nuevas responsabilidades y medidas a implementar de obligado cumplimiento legal.
¿Va a sobrevivir tu web a la nueva ley de protección de datos?
¿Va a sobrevivir tu sitio Web a la nueva ley de protección de datos “LOPD 2018”?
A lo que respondo: ¡Buena pregunta!
El motivo de estar hoy aquí no es otro que el de explicar la que se te viene encima si tienes un blog o una web en materia de ley de protección de datos, porque no es moco de pavo. Y el que avisa no es traidor.
“Memoriza esta fecha: 25 de mayo del 2018”
Es el plazo que tienes para tu reconversión digital legal.
Para esta fecha ya tienes que haber realizado la transición.
Por lo tanto, no lo dejes para último momento y empieza cuanto antes.
Mayo del 2018 marcará un antes y un después en la manera de gestionar la información de los demás, y por eso deberías leer este post y memorizarlo (a ser posible), porque va a determinar en gran medida el futuro de muchos profesionales que vivimos de nuestra web y de nuestra audiencia.
Ya sé que los temas legales no son los que más te emocionan, pero en este caso tu supervivencia digital está ligada a lo que he venido a contarte, así que no te muevas de la silla.
¿Otra nueva Ley de protección de datos?
Básicamente sí, pero mucho más exigente que la actual LOPD (Ley Orgánica de Protección de datos), especialmente en materia de entornos digitales.
Estamos hablando del “nuevo reglamento europeo de protección de datos” que se aprobó en mayo del 2016 y que acabará desde el 2018 con el batiburrillo de regulaciones en materia de protección de datos de cada país miembro de la Unión Europea.
Es lógico que, si ya no tenemos fronteras y tenemos una moneda única, también tengamos una regulación única en materia de protección de datos que determine exigencias comunes que todos los europeos debemos acatar.
El nuevo reglamento europeo se impondrá sobre las regulaciones legales de cada país y hará que te tomes en serio sus exigencias.
Ten en cuenta que la actual ley de protección de datos se aprobó en 1999, y por lo tanto no estaba preparada de ninguna manera para soportar la revolución digital que hemos experimentado estos últimos años.
Ya hacía falta una armonización legal que permitiera un comercio digital integrado y seguro para que todos los que operamos en entornos digitales contemos con un marco legal único.
Y esto, por supuesto, nos obliga a una transición.
¿Por qué te debería importar una nueva ley de protección de datos?
Sin duda esta es la pregunta del millón, porque si al igual que muchos te has estado haciendo el sueco hasta ahora con la actual Ley de protección de datos de ámbito estatal, es difícil imaginar que ahora vayas a interesante por otra regulación europea. ¿Cierto?
A este punto quería llegar justamente.
Cómo dije al inicio de este post, la primera razón por la que debería importarte es por tu propia supervivencia digital. Y porque te juegas el tipo.
Permíteme que, antes que exponga el resto de motivos por el que debes aplicarte en esta nueva regulación, te ponga en antecedentes para que puedas entender a dónde quiero llegar.
El anarquismo bloggero y la ley de protección de datos
A la mayoría de los profesionales que operan en entornos digitales la ley de protección de datos les importaba tanto como a Kiko Rivera el álgebra.
Somos bastante indolentes con los aspectos legales de nuestra web, en gran parte porque nuestros usuarios también lo son…o lo eran.
Porque…
¿Quién es el valiente que se pone a leer una política de privacidad?
Lo cierto es que contábamos con una regulación que no supo ni explicarse, ni venderse y ni controlarse adecuadamente.
Al mismo tiempo, tuvo un fuerte desfase respecto al cambio de paradigma que han supuesto los entornos digitales en la economía de mercado.
Muchos profesionales se lanzaron al encuentro de su parcela digital sin tener presente ninguna regulación, solo importaba estar presente y conseguir el mayor número de usuarios posibles.
Tú, como millones de personas más, empezaste a captar registros en una caza masiva de datos personales con la firme y peligrosa convicción de que esos datos te pertenecían a ti (en tanto recolector) y no al usuario en sí.
Y aquí comienza el descalabro del todo vale, los abusos de confianza a los usuarios y los desmadres con el tratamiento de información personal.
He escrito hasta la saciedad sobre la diferencia entre ser un profesional y ser un top manta digital , una diferencia que no estaba muy presente en nuestro mundillo blogger pero que será muy evidente en cuanto el nuevo reglamento sea de obligado cumplimiento en la Unión Europea.
La era del top manta digital llega a su fin con el nuevo reglamento europeo, o al menos ese es su principal objetivo. Y es por eso que debes empezar a cambiar el chip inmediatamente.
Razones para una conversión digital hacia la legalidad
Hasta ahora habías podido operar sin que la Ley de protección de datos te quitara el sueño.
Si bien tanto la LSSI como la LOPD eran regulaciones obligatorias en todas las páginas web, pocos se preocuparon de adecuar convenientemente sus espacios digitales para cumplir con el mandato legal.
Era mucho más importante coleccionar suscripciones que respetar y garantizar sus derechos.
El nuevo reglamento de protección de datos propone un cambio de paradigma importante respecto al usuario porque impone una maduración digital alineada con el usuario, y no con el negocio.
Razones para una conversión digital hacia la legalidad
Este es el cambio radical que supone esta nueva regulación.
Hasta ahora, tanto tú como el resto de operadores digitales instrumentaban los datos personales de otros con la única finalidad de rentabilizarlos, de manera despreocupada y mercantilista.
Tanto es así, que se compraban y vendían leads, se compartían y se utilizaban sin contar con el permiso de los usuarios, entre muchas otras prácticas que estaban al límite de la legalidad al no preverlas el marco legal.
Pues ahora ya lo están.
Con esta nueva ley de protección de datos el foco legal se desplaza al usuario, a quien se le confiere muchísimo más control y poder sobre su propia información personal.
Eso se traduce en nuevas exigencias para todos los que gestionamos datos personales en entornos digitales.
Por lo tanto, si quieres seguir creciendo y consolidar tu estrategia digital, debes prestar mucha atención a los cambios que tienes que poner en práctica antes de que te pille el toro.
Recuerda que este nuevo reglamento refuerza los derechos de las personas que se relacionan con tu web o blog y las obligaciones de quienes tratan o determinan el tratamiento de los datos personales de otros.
Entre los derechos que se serán reforzados se encuentran los siguientes:
La necesidad de obtener un consentimiento expreso de los usuarios o clientes para poder gestionar sus datos, con nuevos mecanismos para obtenerlo y acreditarlo.
El derecho a que le ofrezcas a usuarios y clientes información completa sobre el uso de su propia información personal.
Deberás concretar y especificar con mucho más rigor todo lo que incluya la información personal de las personas de quienes les requieras sus datos (en una suscripción, comentario, registro, etc)
Garantizar un acceso fácil de todos los que te aportan sus datos sus datos personales a la información que les concierne.
El derecho al olvido y al de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles.
El derecho a la portabilidad de los datos de un prestador de servicios a otro.
Principios básicos del nuevo reglamento de protección de datos
Para que comprendas esta transición digital legal, debes conocer los principios que la regulan:
Principio de licitud, lealtad y transparencia
Los datos serán recogidos de manera lícita, leal y transparente.
Por tanto, toda información relativa al tratamiento de estos datos debe ser accesible y fácil de entender. Los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida.
►Principio de limitación de la finalidad
Los datos serán recogidos con fines determinados. Esto significa que si recoges datos con una finalidad determinada, no puedes utilizar posteriormente los datos con una finalidad diferente.
► Principio de minimización de datos
Se trata de que recojas los datos estrictamente necesarios en relación con los fines para los que son tratados. Y eso significa los mínimos posibles.
► Principio de limitación del plazo de conservación
Los datos serán mantenidos durante no más tiempo del necesario para los fines del tratamiento, algo que te obligará a limpiar tus bases de datos periódicamente.
► Principio de integridad y confidencialidad
Los datos serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, algo que ya exige la actual Ley de protección de datos.
► Principio de responsabilidad proactiva
El responsable del tratamiento será también responsable del cumplimiento de lo dispuesto en el Reglamento. Sobre esto hablaré con mayor detalle luego.
Sé que hasta aquí has sido muy paciente, así que es hora de ir al grano y explicar qué cambios tienes que asumir para acoplarte a la transformación digital legal que se avecina.
¡El consentimiento en el punto de mira!
Este es un punto clave si tienes un blog o una web, y el que más trabajo de ajuste va a sufrir.
El nuevo reglamento exige que todo acto de requerimiento de datos personales tenga que ir precedido por un requerimiento de consentimiento expreso.
Este consentimiento debe tener 3 características fundamentales para que sea legal:
1º Debe ser expreso: no vale el consentimiento tácito.
2º Debe ser específico: ligado a una finalidad concreta y no genérico.
3º Debe ser verificable: debes poder acreditar que lo has obtenido.
Debes desterrar los formularios de suscripción, contacto, registro etc., que no incluyan mecanismos informativos claros y no requieran el consentimiento de los usuarios.
Debes olvidarte, por lo tanto, de presuponer el consentimiento del usuario por inacción u omisión porque eso ya no será válido.
El silencio, las casillas pre marcadas o la inacción del usuario al requerir datos personales no serán legales de cara al nuevo reglamento de protección de datos.
Y aquí la cuestión más complicada y que te afecta directamente: no basta solo con modificar todos los formularios de contacto y añadirles un check box, debes convertir todos los consentimientos tácitos que hayas obtenido hasta ahora y convertirlos en explícitos si quieres seguir trabajando con ellos.
Este es sin duda el punto más doloroso y crítico para todos los que tenemos una lista de suscriptores, porque si no te aseguras de reconvertir esa lista y conseguir un consentimiento expreso, cualquiera de ellos puede convertirse en un potencial peligro como se le ocurra denunciarte.
Por otra parte, si tienes una inspección, deberás poder acreditar todos los consentimientos expresos de la gente cuya información personal administras.
¿Cómo puedes resolverlo técnicamente en tu web?
En los nuevos registros no será muy complicado realizar el ajuste.
Los pasos serían los siguientes:
Paso 1 ⇒ Lo primero será revisar si los formularios de tu web o blog permiten obtener el consentimiento de forma adecuada comprobando que este consentimiento sea explícito, específico y verificable.
¿Tienes un check box en cada uno de tus formularios con un enlace a tu política de privacidad?
Yo recomiendo, además del enlace a la política de privacidad, insertar una cláusula legal visible debajo de cada formulario que exponga los puntos básicos y que esté sujeta a aceptación por parte del usuario antes de enviar sus datos.
Esto te va a permitir acreditarlo debidamente con posterioridad.
Paso 2 ⇒Deberás esmerarte en redactar y reforzar todas tus cláusulas informativas y tener mayor precisión al redactarlas, atendiendo a todos los puntos que el reglamento te exige informar (ver siguiente punto).
Paso 3 ⇒ Deberás recordar que el consentimiento ha de ser revocable en cualquier momento.
Por tanto, deberás facilitar un mecanismo para que los usuarios puedan perderte de vista fácilmente.
Eso es sencillo en el caso de suscriptores, pero a los clientes deberás garantizarles la misma facilidad.
Paso 4 ⇒ Si utilizas datos personales para marketing directo será necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento.
Y si realizas elaboración de perfiles es mejor que te asegures un consentimiento específico para esta finalidad concreta.
Paso 5 ⇒ Deberás asegurarte de contar con un registro de todos los consentimientos que hayas obtenido, recuerda que uno de los requisitos del consentimiento es que sea verificable, esto implica que deberás asegurarte que tu servidor de mail marketing te permita contar con este registro, que deberá incluir, el nombre del usuario, la huella de tiempo, su IP, y si correo electrónico, tal y como explico en este post.
No serán pocos los oportunistas que busquen rentabilizar los fallos de cumplimiento ¡no se lo pongas fácil!
¿Cómo regularizar los registros antiguos?
La única manera que se me ocurre es enviar un boletín en donde les invites a confirmar su suscripción y otorgarte un consentimiento expreso.
Para eso, deberás conducirlos hacia tu nuevo formulario de suscripción y pedirles que marquen la casilla de consentimiento siguiendo las recomendaciones anteriores.
Es evidente que vas a perder a muchos suscriptores por el camino, pero sin duda se quedarán los que realmente quieran seguir a tu lado. Del resto tendrás que deshacerte, ya que van a suponer un gran riesgo para tu negocio.
Antes de que empieces a odiarme y clavar alfileres en mi foto debes saber que esta ley no la hice yo y que no se mata al mensajero. Yo sólo te informo la mejor forma de sobrevivir de cara a la nueva ley de protección de datos europea.
La transparencia informativa
Otro de los puntos que más impacto tendrá en nuestra estrategia digital reside en la transparencia informativa.
Ya no valen las generalidades, las medias verdades, los copia y pega de textos legales de otros.
El nuevo reglamento exige informar de forma asequible, clara y transparente.
¿Esto cómo se consigue?
La recomendación es que informemos por capas, es decir, que el usuario disponga de la información básica en una primera capa y que pueda completar esa información en una segunda capa, es lo que se conoce como información multinivel.
En ese formulario puedes ver los diferentes elementos que deben integrar un formulario para que esté plenamente adecuado al RGPD y te sitúes en el lugar correcto frente a tus usuarios.
Tus formularios serán los que marquen la línea roja entre legalidad e ilegalidad. Recuerda que uno de los objetivos que tiene esta normativa en protección de datos es que los usuarios cuenten con mayores elementos para identificar a los prestadores que hacen un gestión segura de sus datos y los que no.
Otro aspecto que implica este cambio de enfoque de transparencia es que tendrás que ser mucho mas específico a la hora de informar. Piensa que cada formulario de captura hace un uso diferente de la información de los usuarios, no es lo mismo un formulario de contacto que uno de suscripción.
Esto implica informar de forma diferenciada en cada caso acerca del uso que harás de la información que recopilas.
Debes desechar las formulas farragosas, soporíferas e incomprensibles a las que estamos acostumbrados. Debes empezar a empatizar con el usuario, ponerte en su piel, y explicar de la forma más sencilla y clara posible, todo lo referente al tratamiento de su información personal.
La clave es avanzar hacia un modelo más amable y ameno que invite al usuario a leer los términos y condiciones legales de una web.
Por eso he de insistir en la creación de políticas de privacidad atractivas que motiven al usuario a su lectura en lugar de enfrentarlo a textos soporíferos en indescifrables.
Yo lo llamo Políticas friendly.
Las políticas friendly en el nuevo marco digital
Las políticas friendy son accesibles, son cercanas, son claras y fáciles de leer. Deben invitar al usuario a leerlas en lugar de animarlo a salir corriendo.
Si sabes cómo escribir un post para que tus lectores te lean y sean atractivos, con tu política de privacidad debes hacer lo mismo.
Ya sé que una cosa es decirlo y que otra bien distinta es llevarlo a la práctica.
Lo cierto es que tienes que empezar a revisar tus textos legales y tus cláusulas informativas. Todas deben ser personales y ajustadas a la realidad de tu web (no a la del vecino)
También deberás ofrecer mecanismos informativos suficientes para que toda información y comunicación relativa al tratamiento de datos personales sea fácilmente accesible y fácil de entender y, especialmente, que no se diluya en palabrería técnica.
Dicho esto, está claro que no habrá lugar para las webs o blog que operen encapuchadas, ocultando información básica que los usuarios tienen derecho a conocer, en especial sobre aquellos aspectos que afectan a la gestión que hagamos de su información personal.
Información que debes asegurarte de que los usuarios conocen antes de que faciliten sus datos
El nuevo reglamento te obliga informar sobre todos los aspectos que afectan de manera directa o indirecta al tratamiento de los datos de las personas que te los facilitan.
Tus usuarios deben ser advertidos e informados, entre otras cosas, sobre:
1# La identidad del responsable de la gestión y, si procede, del delegado de protección de datos, otra novedad que hasta ahora no existía. Una web que no proporcione información completa del responsable no podrá considerarse nunca una web legal.
2# La identidad de los destinatarios o las categorías de destinatarios de los datos personales, algo que muy poquitos hacen y que incluye informar de todos los servicios de terceros que utilices en tu web y que almacenen también esos datos, como Hosting, plataforma de e-mail marketing, servicio de captación de leads, etc.
3# Que sus datos personales se están recogiendo, utilizando o consultando, la medida en que dichos datos son o serán tratados y de las posibles consecuencias de no facilitar tales datos.
4# Las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento.
5# El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto también es una novedad).
La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
En la actual Ley de protección de datos, ya contábamos con los derechos ARCO, ahora se impone un nuevo derecho: el de portabilidad, que implica el traspaso de información de una empresa a otra si el usuario o cliente lo solicita.
6# La existencia de decisiones automatizadas, incluida la elaboración de perfiles para segmentación (por ejemplo cuando esta elaboración tenga consecuencias jurídicas para el afectado).
Responsabilidad proactiva: mejor prevenir que curar
Si somos sinceros, hemos de asumir que no siempre se toman las medidas correctas para evitar la sustracción, la pérdida o el acceso no autorizado a información de la que somos responsables.
La nueva Ley de protección de datos te impone más responsabilidad frente a la información que gestionas de otros.
Te pide básicamente que tomes la iniciativa en la defensa de la privacidad en lugar de reaccionar cuando ya se ha producido una brecha o una vulneración de derechos.
Por tanto, deberás adoptar medidas para demostrar que estás cumpliendo con el Reglamento, tendrás que ser tú quien aporte “la carga de la prueba”.
Es aquí cuando entran en juego los procedimientos y medidas de seguridad que tendrás que acreditar si se produce una brecha de seguridad o cualquier otra calamidad que comprometa la confidencialidad de los datos personales que están bajo tu responsabilidad.
También te obliga a tener un procedimiento para comunicar esa brecha a los usuarios o clientes cuya información personal se vea comprometida.
El punto crítico: las sanciones e indemnizaciones
Otra parte que debes tener en cuenta es el colosal incremento de las sanciones por incumplimiento de cualquiera de estas premisas.
Antes, el tope de sanción se estimaba en los 600.000€ y, para ello, la debías de liar gordísima.
El nuevo reglamento dispara esos importes y en el caso de infracciones leves, pasa de los 600.000€ a los 10 millones de euros, o un 2% del volumen de negocio total anual del ejercicio financiero anterior.
En el caso de infracción grave, estas dos cifras se duplican, alcanzando la friolera de 20 millones de euros o un 4% del volumen de negocio.
Pero no todo son sanciones. Además hay otra peculiaridad más preocupante aún que hará que no te lo pienses dos veces a la hora de realizar tu reconversión digital legal.
El nuevo reglamento prevé la posibilidad de requerir indemnizaciones a los damnificados en materia de protección de datos, algo que no contemplaba la actual LOPD.
Imagina la picaresca que puede generar esta medida y cómo puede impactar en tu negocio porque puede propiciar la aparición de oportunistas caza-indemnizaciones. Así que mejor no tentar a la suerte y no darles la menor oportunidad.
Conclusión
Si has llegado hasta el final, solo puedo darte la enhorabuena.
Sé que no es el tema más divertido de leer, pero posiblemente sea el más importante ahora mismo de cara a la que se avecina.
Ahora te toca a ti decidir si quieres armarte de valor para realizar tu reconversión digital legal o quedarte como hasta ahora y ver qué pasa.
Solo una cosa te puedo decir: El mundo digital se ha transformado y nos ha transformado, indefectiblemente, a todos.
Eso supone la necesidad de trabajar en la consolidación de una comunidad donde podamos distinguir claramente quienes nos ofrecen garantías suficientes y quiénes no.
Esta nueva ley de protección de datos es una oportunidad, a la vez que un reto, para situarte en un lado o en otro. A fin de cuentas, los que tendrán la última palabra son los usuarios.
Foto: Marina Brocca – https://josefacchin.com/author/marina-brocca/