Check list de urgencia para adaptarte a GDPR
Si todavía no has actualizado tu empresa a el nuevo Reglamento General de Protección de Datos, no te preocupes, te dejamos esta check list para adaptarte a GDPR. La ley, que entró en vigor el pasado 25 de mayo de 2018, se encarga de proteger los datos personales de los ciudadanos de la Unión Europea para garantizar la privacidad de los mismos. ¿Qué se pretende con esta actualización? Hacer que las empresas almacenen los datos de los clientes y los utilicen solo si estos lo autorizan de manera consciente.
¿En qué situación tenemos que adaptarnos a la ley? En aquellos casos en los que por alguna razón almacenes datos de ciudadanos de la Unión Europea. Si tienes una web con algunos formularios, probablemente, estés almacenando datos personales.
La versión actualizada de GDPR no determina qué datos son los personales y qué información concreta debe protegerse, por lo tanto, según el sitio web de la Comisión Europea, todos los datos del visitante del sitio web deben considerarse personales y protegerse según la ley.
A continuación, te presentamos la check list para adaptarte a GDPR.
1. Actualizar los textos legales al nuevo reglamento
El primer paso que tenemos que dar en nuestras empresas es adaptar todos los textos legales al nuevo reglamento. ¿Cómo se puede hacer esto? Pues bien, tenemos que acceder al Aviso Legal y la Política de Privacidad que ya tenemos y redactarlos según la nueva legislación.
Puedes tener un único texto para estos dos documentos. Deberás incluir al menos:
- Identificación de tu empresa: Identificarte como el tratador de los datos con tu nombre fiscal y domicilio.
- Un aviso al usuario de que se va a realizar recogida y tratamiento de sus datos personales.
- Las finalidades del tratamiento de datos personales que realizas: Por ejemplo, decirle al usuario que su información podrá ser utilizada para manternerle informado sobre nuevos productos.
- Cookies: Debes informar al usuario de que vas a usar cookies. Además, debes informarle sobre los tipos de cookies que utilizas (sin son propias o de terceros), la finalidad de las cookies y avisarle de que navegar por la web significa aceptar el uso de cookies. Así mismo, hay que explicar cómo puede hacer el usuario para deshabilitar las cookies o borrarlas.
- Aviso de la cantidad de tiempo durante la que almacenaremos los datos del usuario.
- Aviso sobre cómo pueden los usuarios hacer ejercicio de sus derechos: Explicarle al usuario como puede ejercer sus derechos de acceso, rectificación, supresión de datos, solicitar la portabilidad de sus datos, etc. Para esto podemos ofrecer un email al que los usuarios puedan escribir para hacer las solicitudes.
- Ante quién pueden hacer reclamaciones.
- Medidas de seguridad: informar al usuario de que se siguen las medidas de seguridad exigidas por la ley.
- Aceptación y consentimiento: En esta cláusula se informa al usuario de que ha sido informado de todos los puntos anteriores y de que al utilizar la web el usuario acepta y consiente nuestra política de privacidad.
En caso de que no tengas abogados o expertos en GDPR a mano, te recomendamos que te fijes en textos legales de otras web que ya hayan sido adaptadas para que sepas cómo redactar todas las cláusulas que acabamos de listar.
2. Requerir la aceptación de las condiciones en todos los formularios
Una vez que hemos realizado los pasos expuestos en el apartado anterior, el siguiente en esta check list para adaptarte a GDPR será: actualizar todos y cada uno de los formularios de recogida de datos utilizados en nuestra web para pedir al usuario que de forma explícita, consciente y voluntaria acepten que vamos a tratar sus datos.
Acompañando al típico check de aceptación de condiciones, deberemos introducir un texto que diga:
- Que los datos que el usuario nos entregue serán incorporados al sistema de tratamiento de nuestra propiedad, identificando a nuestra empresa con nombre y domicilio.
- La finalidad con la que vamos a tratar los datos.
- Cómo tiene que hacer el usuario para ejercer sus derechos, por ejemplo, escribiendo a una cuenta de correo determinada.
- Que el usuario «da su consentimiento expreso para el tratamiento de sus datos con la finalidad mencionada» mediante el envío del formulario.
3. Obtener la aceptación explícita de los usuarios que nos dejaron sus datos antes de la entrada en vigor del reglamento
Si tenemos una base de datos construida sin tener en cuenta la ley, será necesario que enviemos un email a los contactos de nuestra base de datos pidiéndoles explícitamente, que nos den su consentimiento para seguir utilizando sus datos. De esta manera, se procedería a la utilización de los datos personales con el permiso de sus titulares y no estaríamos quebrantando la ley.
En esta check list para adaptarte a GDPR te facilitamos algunos consejos que pueden ayudarte a realizar el email que tendrás que enviar a tus clientes o leads.
- Se requiere una aceptación explícita. Esto se puede hacer llevando al usuario a un formulario para que marque una casilla de verificación que no aparezca marcada de forma previa o mediante el click en un botón que diga «Acepto».
- Permite que las personas puedan retirar el consentimiento y explícales cómo pueden hacerlo. Los suscriptores tendrán que tener la opción de darse de baja de la lista de correo.
- Comprueba cómo estás recogiendo el consentimiento de las nuevas adscripciones y los que ya tienes. Es necesario que todos los suscriptores hayan dado su consentimiento de forma explícita a la recopilación y uso de sus datos. Además, se deberá saber en qué momento exacto se aceptó ese consentimiento.
Es posible enviar en dos o tres oportunidades este email.
4. Eliminar de nuestra base de datos a los usuarios que no nos hayan dado su consentimiento
Una vez que nos hemos puesto en contacto con los usuarios de nuestra base de datos, y les hemos informado del cambio de la normativa y de la necesidad de recibir su consentimiento explícito, si no hemos recibido noticias de los mismos ni una aceptación precisa, se interpreta que el usuario NO nos autoriza al uso de sus datos.
Si esto ocurriera deberíamos deshacernos de todos los datos que tengamos de ese usuario, ya que en caso contrario estaremos infringiendo la ley.
¡Ojo! Esto no afecta a clientes actuales de nuestra empresa, ya que hay una relación con ellos que necesariamente obliga a que tengamos sus datos y, normalmente, en los contratos que tengamos con ellos, ya les debemos haber incluido una cláusula de protección y privacidad de datos.
En Billage estamos para ayudarte con la gestión de tu negocio. Esperamos que esta check list para adaptarte a GDPR te haya sido útil.
This post is also available in: Spanish