Insertar Aviso legal y Política de privacidad en WordPress

Uno de los requisitos básicos del RGPD es que debes proporcionar a los usuarios de tu sitio web información detallada sobre los derechos relacionados con sus datos, y de cómo vas a utilizar exactamente esos datos.

Es posible que tengas la tentación de omitir o resumir mucho esta parte, ¿quién lee el rollazo legal?

Te recomiendo que no hagas eso.

La política de privacidad ahora es algo muy importante que no debes menospreciar.

Aquí te cuento cómo configurar estos textos legales en WordPress.

¿Debo incluir una Política de privacidad?

Si, siempre que guardes datos personales, como nombres, direcciones de correo electrónico, imágenes o cualquier otro dato que permita identificar a un usuario que ingresa a tu sitio web.

WordPress guarda datos personales en diferentes sitios:

  • En la sección de comentarios el nombre y dirección de correo electrónico.
  • Datos personales recopilados en formularios de contacto.
  • En los formularios de las listas de suscripción la dirección de correo electrónico.
  • Datos recopilados a través de herramientas de analítica web como Google Analytics.
  • A través de los formularios de registro.
  • Al usar plugins para publicar en Facebook, su sistema de comentarios o los likes.
  • Mediante plataformas publicitarias como Google Adsense.

Incluir una página de privacidad protegerá tu sitio, a tus visitantes y te ayudará a generar confianza en tus usuarios.

¿Y qué tengo que poner?

Los puntos mínimos sobre los que debes informar en la página de política de privacidad son los siguientes:

  • Datos personales que recoges y dónde los recoges.
  • Cómo se recogen:
    • a través de cookies,
    • en formularios de suscripción, contacto, por correo electrónico, etc.
  • Si existe una cesión de datos o estos son gestionados por terceros y datos identificativos de estos.
  • Enlace a la página de cookies en la que se enumeren las cookies utilizadas y cómo bloquearlas.
  • Responsable y su información de contacto para que los visitantes puedan ejercer sus derechos.

Aquí tienes una plantilla que servirá de guía para elaborar tu propia política de privacidad:

Cómo configurar la Política de privacidad en WordPress

En la última versión de WordPress se añade una opción para elaborar una página de política de privacidad.

Se incluye un ejemplo de política de privacidad que puedes editar y adaptar a las características de tu web.

En el escritorio de WordPress, dentro del menú Ajustes aparecen las nuevas opciones de Privacidad.

Tienes que pulsar el botón Crear Página y se crea una nueva página con el título Política de Privacidad que desde el menú Páginas puedes editar.

Antes de publicarla debes añadir tu información personal y tu información de contacto.

Crea enlaces a tu Política de privacidad

La mayoría de páginas web tienen enlaces a sus textos legales en el pie de página. De esta forma no ocupan espacio en el menú principal y es el lugar dónde los visitantes esperan encontrarlos.

Debes crear los enlaces en el pie dentro de los ajustes del Tema de WordPress instalado.

Los pasos que debes seguir son los siguientes:

Establece un menú con los enlaces a las páginas legales

Vete al Escritorio de WordPress y después al menú Apariencia >> Menús y crea un nuevo menú denominado “Textos legales”, por ejemplo.

Incluye en el menú las diferentes páginas con los textos legales y, por último, guarda el menú.

Incorpora el menú al pie de página como Widget

Cuando hayas creado el menú para incluirlo al pie de página utiliza un widget:

  • En el menú Apariencia pincha en Widgets.
  • Dentro de Widgets disponibles está Menú de navegación. Arrástralo sobre -Pie de Página- que aparece a la derecha de la ventana.
  • Por último debes configurar el widget.
  • Pon un título que se usará como cabecera, (Enlaces, por ejemplo) y después elige en el desplegable el menú que has creado en el paso anterior.

Una vez guardado el Widget aparecerán los enlaces en el pie de todas las páginas del sitio.

Plugins de WordPress que te ayudan a cumplir el RGPD

Muchas webs WordPress aún no han implantado los cambios para adecuarlas a la nueva legislación de protección de la privacidad y derechos de los usuarios.

Estos plugins te pueden ayudar a cumplir el RGPD.

GDPR √ Check

Curioso este plugin.

Es una especie de lista de comprobación pero no sirve para cumplir ningún requisito del RGPD.

Es similar a la herramienta Facilita de la Agencia Española de Protección de Datos, que te pregunta sobre cómo usas tu web y, según tus respuestas, te guía sobre qué documentos/comunicados tienes que elaborar.

El problema es que no está en español, ni ofrece documentos tipo. Como guía orientativa está bastante bien.

WP GDPR Compliance

Es un buen plugin para ayudarnos a cumplir el RGPD.

Se encuentra en español y ofrece herramientas para crear fácil y automáticamente textos y casillas de aceptación de la política de privacidad.

Se incluye en:

  • WooCommerce,
  • formularios de comentarios de WordPress,
  • formularios de contacto más populares y
  • bbPress.

Este plugin se actualiza casi cada día posibilitando la unión con más servicios.

Se trata de un excelente plugin para añadir la primera capa de información y aceptación de tus políticas de privacidad.

GDPR

Este es el mejor y más completo plugin para ayudarnos a cumplir el RGPD, ahí es nada.

Te echa una mano con muchas cosas:

  • Gestión íntegra de solicitudes y reclamaciones de revisión, rectificación, borrado y protección de datos de los usuarios. Ofrece un shortcode en el que puede añadirse un botón desde el que solicitarlas, y también avisos de administración, correos de confirmación y herramientas para la completa gestión de este tipo de solicitudes. Si el usuario no tiene contenido los borrados son automáticos pero siempre con doble confirmación e incluso token de seguridad.
  • Búsqueda, exportación (en XML o JSON) y revisión de datos de los usuarios.
  • Registro de auditoría en caso de usuarios no registrados.
  • Telemetría: Identificación automática de envío de datos por WordPress y plugins, con autoborrado, para saber:
    • qué plugins envían datos y
    • qué datos envía a servidores externos.
  • Gestión de incidentes de seguridad de datos personales. En caso de detectar una brecha de datos el responsable del tratamiento desde aquí puede enviar correos masivos (programados) a los usuarios, informando sobre:
    • plazos legales de la brecha,
    • datos comprometidos y
    • medidas a llevar a cabo.
  • Descubre automáticamente modificaciones en la política de privacidad, avisa automáticamente también a los usuarios de los cambios y solicita su aceptación para poder seguir visitando la web.
  • Creación y gestión completa de cookies propias y de terceros, con bloqueo y/o aceptación obligatoria u opcional.
  • Y además dispone de una buena ayuda en cada pantalla.

Incorpora shortcodes y funciones de ayuda con los que crear botones, consentimientos, incluir o excluir códigos y cookies de consentimientos, casi de todo.

¡Imprescindible! Es una de las mejores herramientas para ayudarnos a cumplir el RGPD.

WP Security Audit Log

Sí, vas a necesitar un oficial de protección de datos.

Y como seguramente tendrás que ser tú ¿por qué no usar una herramienta que registre toda la actividad de tu WordPress y, además te ayude a detectar posibles brechas de seguridad de datos?

Para lograr este objetivo este es un completo plugin.

Registra toda la actividad tanto de administración como de navegación de tu WordPress, para informarte en todo momento:

  • qué pasa,
  • quién lo hace y
  • poder tomar medidas en caso necesario.

Puedes configurar ajustes generales de las alertas y avisos. Y configurar sobre qué se crearán alertas, unificándolo con plugins tan importantes como Yoast SEO o WooCommerce .

Activity Log

Plugin eficaz para asegurar el seguimiento y registro de actividad de nuestra web.

Bastante más sencillo de configurar que el anterior, pero no te avisa de todo.

Su ventaja sobre el anterior es que los avisos automáticos, según las reglas que tú has establecido, son gratis.

iThemes Security

Igualmente necesitarás un buen plugin de seguridad, que proteja a tus usuarios y tu web de ataques y brechas de seguridad y privacidad de los datos.

Y personalmente te recomiendo iThemes Security, muy completo y sencillo de configurar.

Pero no olvides activar los ajustes de seguridad y privacidad más importantes, a saber:

  • Esconder escritorio: para cambiar wp-login.php o wp-admin por otra cosa.
  • Descubrimiento de modificaciones en archivos.
  • Modificar prefijo de tablas de base de datos
  • Protección contra fuerza bruta
  • Reforzar la seguridad de la contraseña
  • Desactivar XML-RPC
  • Proteger archivos de sistema
  • Impedir ejecución de PHP en carpetas de WordPress

¿Esto es todo?

Existen muchos más plugins pero estos cubren la mayoría de los requisitos del RGPD en lo referido a la parte técnica.

Recuerda ofrecer siempre al usuario el control total de sus datos y el derecho al olvido.

Además, recuerda que el RGPD no anula el resto de legislaciones vigentes. También hay que cumplir la LSSI y la ley de cookies.

El Aviso Legal obligatorio para cumplir con la LSSI

Para cumplir con la Ley de servicios de la sociedad de la información y de comercio electrónico (LSSI), todo sitio web ha de poner a disposición de los destinatarios del servicio y de los órganos competentes (salvo aquellos que se limiten exclusivamente al ámbito doméstico o de actividades personales no económicas) un mínimo de información de forma permanente, fácil, directa y gratuita.

Uno de esos textos es el Aviso legal.

¿Sabes cómo redactarlo?

¿Y lo que debes incluir?

Aquí tienes toda la información para adaptar el Aviso legal de tu web a la normativa.

¿Qúe es el Aviso Legal?

El aviso legal es ese texto que poca gente lee y que normalmente aparece en un pequeño enlace al pie de la página web.

O en una casilla de marcación obligatoria al acceder o suscribirse a un servicio.

El aviso legal es la información que debe facilitarse al usuario para cumplir con las obligaciones legales o regular las condiciones de uso del sitio web.

En el caso de grandes empresas de Internet, puede llenar varias páginas. Y en el caso de sitios más pequeños, apenas unos párrafos.

Podríamos definir el aviso legal como aquella información que debe facilitarse al usuario para cumplir con las obligaciones legales o regular las condiciones de uso del sitio web.

Desde un aspecto jurídico, cuando un usuario entra en un sitio web está obteniendo un servicio por parte del mismo. Esto implica, en realidad, la celebración de una clase de contrato, lo que resulta aún más claro cuando el servicio no se basa sólo en mostrar una información accesible a todo el público, sino que se efectúa una compra, se exige el registro del usuario, o cualquier otra acción similar.

aviso legal para paginas web proteccion de datos

¿Dónde se regula?

En España, la norma básica que regula la prestación de servicios a través de Internet es la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), que en su día fue bastante polémica.

También resulta muy importante la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), sustituida por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

También es aplicable la legislación de defensa de los consumidores.

Contenido del Aviso Legal

Esta información suele incluirse bajo el título “Aviso Legal” y ha de incluir los siguientes elementos:

  1. Una clara identificación del o los responsables del sitio:
    • nombre o denominación social,
    • residencia o domicilio,
    • dirección de correo electrónico y
    • cualquier otro dato que permita establecer una comunicación directa y efectiva.
  2. El dominio o dominios utilizados.
  3. En el caso de que tu actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización. Y los identificativos del órgano competente encargado de su supervisión.
  4. Si ejerces una profesión regulada deberás indicar:
    • los datos del Colegio profesional al que se pertenece y número de colegiado,
    • el título académico oficial o profesional con el que cuentas,
    • las normas profesionales aplicables al ejercicio de tu profesión y
    • los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
  5. El número de identificación fiscal que corresponda.
  6. Información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.
  7. Los códigos de conducta a los que, en su caso, estés adherido y la manera de consultarlos electrónicamente.

Cuestiones a tener en cuenta

A partir de esta información legal, hay dos cosas importantes que debe saber una empresa.

Puesto que son errores que se ven con frecuencia en Internet:

  • Si bien el asunto no es tan complejo como para necesitar el asesoramiento de un abogado (salvo casos muy específicos o que la empresa tenga ya contratado algún servicio de asesoramiento legal), tampoco es conveniente dejarlo en manos del informático o de la empresa que nos diseña una web. Se tardan cinco minutos en repasar el texto que nos han propuesto comparándolo con los puntos señalados anteriormente. Y nos puede ahorrar más de un disgusto.
  • También es peligrosa la extendida costumbre de teclear “Aviso Legal” en Google y, tras elegir un ejemplo que parezca muy completo, hacer un copia/pega en nuestro sitio cambiando solo los datos identificativos. Este Aviso debe redactarse de forma personalizada. En función no sólo del cumplimiento de las obligaciones legales, sino también de la información y garantías que toda empresa debe mostrar en sus páginas web como primer paso para ganarse la confianza de sus posibles clientes.

Es habitual incluir dentro del Aviso Legal no solo la información a la que se refiere el artículo 10 de la LSSI, sino también las referidas a propiedad intelectual, uso de los contenidos, responsabilidades y protección de datos.

¿Qué páginas web deben incluir un Aviso legal?

Tendrás que incluir un aviso legal en:

  • páginas web de la empresa o blogs corporativos,
  • blogs y web personales que tengan enlaces con webs de publicidad u otras webs con temática relacionada con blog personal y
  • páginas web de comercio electrónico en las que vendas productos o servicios propios

Siempre que una página web reciba algún tipo de ingreso por comercio electrónico o por publicidad deberá tener un aviso legal.

¿Qué ocurre si mi web no incluye ese Aviso legal?

En caso de no incluir el texto del Aviso legal en tu página web puedes ser sancionado.

Y las sanciones pueden ser muy elevadas.

Así que no te lo tomes a broma.

aviso alerta

Si no incluyes el texto del Aviso Legal en tu página web puedes ser sancionado.

La LSSI otorga las funciones de supervisión y control de la misma al Ministerio de Industria, Comercio y Turismo. En esta función de control, el Ministerio podrá llevar a cabo las actuaciones inspectoras que sean precisas.

La potestad sancionadora corresponde al Ministerio de Industria, Comercio y Turismo a través de la Secretaría de Estado de Comercio.

Salvo en los casos de comunicaciones comerciales electrónicas cuya potestad sancionadora corresponderá a la Agencia Española de Protección de Datos.

¿Recoges datos personales en tu página web?

Cuando recabamos datos personales, debemos cumplir de forma expresa, precisa e inequívoca con el derecho de información que tiene el usuario persona física en relación con el tratamiento de sus datos personales.

La ley de Protección de Datos impone la obligación de facilitar información sobre:

  •  La existencia de un tratamiento de datos de carácter personal 
  • Finalidad y uso de la recolección de esos datos.
  • Obligatoriedad o voluntariedad de su respuesta a las preguntas planteadas en el formulario.
  • Consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • Identidad y domicilio del responsable del fichero o, en su caso, de su representante. El representante siempre debe estar en territorio español.
  • Posibilidad de operar los denominados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). También sobre los nuevos derechos establecidos en el RGPD: limitación y portabilidad.

Por ello, es aconsejable solicitar en el formulario de contacto únicamente aquellos datos que efectivamente nos van a ser útiles. Evitando recoger aquellos que nos obligarían a ser mucho más cuidadosos con los ficheros en los que guardamos esos datos. Tales como ideología, religión, creencias, origen racial, vida sexual o salud que precisarían mayores cautelas, tales como que el envío se realice mediante un canal cifrado, por ejemplo.

Modelo

Descarga aquí el modelo de Aviso legal para tu página web.

Y adapta tu página web cuanto antes.

Ya no tienes excusa.

¿Necesitas cumplir la LOPD?

¿Cómo enviar emails publicitarios de manera legal?

Con la entrada en vigor del famoso RGPD, una de las preguntas que más me hacen es si es posible enviar publicidad a través de email cumpliendo esta normativa.

¿Cómo evitar que esos emails se conviertan en spam?

Al igual que ocurre en la vida, no todo es blanco o negro. Existen matices.

Por eso en este post te explico cómo puedes enviar emails publicitarios legalmente y qué requisitos debes cumplir.

Regulación del email márketing

Al realizar email márketing estás tratando datos personales. Por tanto, debes tener en cuenta las siguientes normas:

  • LOPD: esta ley afecta sólo al tratamiento de datos de personas físicas y regula los derechos y obligaciones en cuanto a esta información, incluida la contenida en una comunicación electrónica. La LOPD prohíbe la utilización de datos personales sin consentimiento del titular y por tanto, el envío de comunicaciones comerciales a personas que no nos hayan dado su consentimiento para utilizar sus datos.
  • LSSI: esta ley no distingue entre persona física y persona jurídica. Regula todas las comunicaciones que realices de forma electrónica, ya sea con personas o con empresas y prohíbe el envío de comunicaciones comerciales electrónicas a menos que exista consentimiento o autorización previa por parte del receptor.
  • Reglamento Europeo de protección de Datos: esta nueva normativa es aplicable a todos los países miembros de la UE y surge con el objetivo de armonizar todas las regulaciones existentes en materia de protección de datos. Sustituye a la LOPD en nuestro país.
  • Nueva LOPD y Garantía de Derechos Digitales: esta ley, a punto de aprobarse en España, adapta el RGPD a nuestro derecho. Y aquí se establece también la necesidad de un consentimiento expreso para enviar los emails publicitarios.

¿Puedo enviar correos con publicidad?

La regla general es clara: NO.

Se prohíbe el envío de comunicaciones comerciales o publicidad vía e-mail. Son también ilegales los correos comerciales a direcciones de correo electrónico recogidas en Internet o en bases de datos compradas.

Se consideran datos de carácter personal los correos electrónicos profesionales, por lo que dirigirse a potenciales clientes a través del e-mail es considerada una práctica ilegal.

El RGPD prohibe las comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

Excepciones

Aquellas empresas que deseen enviar comunicaciones comerciales por correo electrónico deben ser conscientes de que están manejando una base de datos personales. Esto exige adaptarse a la normativa de protección de datos (LOPD y RGPD).

Pero si, además, la empresa va a publicitar u ofrecer productos o servicios vía e-mail, solo podrá hacerlo (de acuerdo a la LSSI) cuando la comunicación comercial:

  • Se dirija a una empresa o persona física que sea cliente, es decir, haya existido una relación contractual con la misma. La comunicación debe referirse a productos o servicios similares a los que fueron objeto de contratación, nunca deberemos dirigirnos a clientes para ofrecerles algo en lo que no hayan mostrado interés previo.
  • Aunque no vaya destinada a un cliente, haya sido solicitada o expresamente autorizada por el mismo.

Requisitos para enviar emails publicitarios

En primer lugar, para enviar estos correos con información comercial, debes tener en cuenta que toda persona tiene derecho a:

  • Consentir o no la recogida, la obtención y el acceso a sus datos personales. El hecho de que sus datos personales aparezcan en Internet o en redes sociales no implica consentimiento y no te da derecho a usarlos de ninguna forma.
  • Decidir sobre el almacenamiento y el tipo tratamiento que se hará de su información personal. Que contacten contigo para pedirte información no significa que puedas añadirlo a tu base de datos, salvo que te den permiso expreso para hacerlo.
  • Conocer previamente los posibles usos por parte de terceros que se le dará a su propia información. Por tanto, si no has informado previamente del uso concreto que harás de sus datos, no vale de nada que pongas un check box de consentimiento.
  • Saber en todo momento quién o quiénes disponen de esos datos personales y para qué los están usando. Si no eres absolutamente transparente respecto a tu identidad y a las de todos tus colaboradores a quienes les cedas datos personales, nunca estarás realizando una campaña de marketing legal.
  • Oponerse a ese tratamiento o exigir la cancelación de su información. Que te hayan dado su permiso para que les mandes publicidad no significa que ese permiso sea irrevocable, debes facilitar esa posibilidad siempre.

Pasos a seguir

Antes de enviar correos publicitarios a tu base de datos debes seguir unos pasos.

1. Revisa cómo recoges los datos

La clave para cumplir este requisito es el permiso.

Por eso, la mejor manera de obtener datos legalmente es mediante un formulario de captación en donde sea el propio usuario el que aporte la información requerida. Olvídate de cualquier otra estrategia en donde no puedas acreditar el permiso del usuario para comunicarte comercialmente con él.

El RGPD exige que seas capaz de acreditar el consentimiento y por este motivo es imprescindible comprobar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría o inspección. No basta con hacerlo bien, también debes ser capaz de demostrarlo.

2. Informa con total claridad

Deben quedar totalmente claros los siguientes puntos a la hora de solicitar o gestionar los datos personales:

  • Que se están almacenando, usando o consultando sus datos personales.
  • Cómo dichos datos son o serán tratados.
  • Posibles consecuencias de no facilitar tales datos.
  • Base jurídica del tratamiento y propósito al que se destinan los datos personales.
  • Identificación de los destinatarios o las categorías de destinatarios de los datos personales.
  • Datos de contacto del responsable de la gestión y si procede, del delegado de protección de datos.
  • Periodo de tiempo durante el cual se conservarán los datos personales o las pautas utilizadas para determinar este plazo.
  • Derecho a pedir al responsable del tratamiento el acceso a los datos personales que ha proporcionado, la limitación de su tratamiento, su rectificación o supresión, a oponerse al tratamiento, y el derecho a la portabilidad de los datos.
  • Derecho a interponer una reclamación ante una autoridad de control.
  • Intención de elaborar perfiles, informar sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • Si el responsable prevé transferir sus datos personales a un tercer país u organización internacional.

3. Pide consentimiento

En la LOPD se aceptaba como bueno el consentimiento tácito, a menos que se tratara de datos sensibles. Con el nuevo reglamento, el consentimiento tácito desaparece y no puede inferirse de la inacción u omisión de los usuarios.

El nuevo Reglamento europeo exige que el consentimiento, para que sea válido, debe ser:

  • libre,
  • informado,
  • específico e
  • inequívoco.

Para cumplir estos requisitos, no puede admitirse un consentimiento tácito o por defecto y se exige, por tanto, que exista una declaración de los interesados o una acción positiva que indique el acuerdo del interesado.

Existen varios mecanismos con los que puedes acreditar el consentimiento:

  • Formularios web: El consentimiento puede recabarse mediante un check box de aceptación al “aviso legal” o “política de privacidad”. La prueba del consentimiento efectivo es acreditar que el programa impide enviar los datos sin antes haber aceptado el aviso legal o la cláusula informativa correspondiente.
  • Doble opt-in: Basta con configurar el correo de confirmación incluyendo una cláusula informativa y especificando que la validación de esa dirección supone la aceptación de esa cláusula informativa o política de privacidad.

4. Si vas a elaborar perfiles, informa y solicita el consentimiento

El Reglamento introduce la necesidad de recabar el consentimiento para llevar a cabo actividades de creación de perfiles que produzcan efectos jurídicos o afecten significativamente al interesado.

Para poder realizar perfiles y segmentar deberás:

  • Informar al usuario específicamente sobre este aspecto y de cualquier otra información. Si lo haces en la política de privacidad, deberás añadir un apartado específico referido a la elaboración de perfiles.
  • Requerir el consentimiento de manera clara y explícita al usuario, para la utilización de sus datos en la elaboración de perfiles.
  • Dar la opción al usuario de oponerse a la creación de perfiles cuando esté relacionada con una campaña de marketing directo. En cualquier momento y sin coste alguno.

¿Te parecen muchas cosas? ¿Crees que esto te va a complicar la vida?

Al contrario, esto te ayudará a generar confianza sobre tu negocio.

No debes tener miedo a la ley, si ofreces garantías obtendrás la mejor ventaja competitiva.

¿y tú cómo haces tus campañas de email márketing? Espero tus comentarios.

Cómo configurar el aviso de cookies en WordPress

Si tienes un blog o una página web que utiliza cookies debes incluir el aviso legal de cookies.

¿Has entrado últimamente en alguna web o blog en el que no te hayan avisado de algo relacionado con las cookies?

No todas las webs utilizan cookies. Pero si eres programador, emprendedor, diseñador, fontanero, ama de casa, o cualquiera que tenga una web y quiera controlarla un poco, seguro que usas plugins o aplicaciones que las utilizan. Por ejemplo los anuncios intercalados de Adsense o Google Analytics.

Si quieres incorporar este aviso de cookies a tu web o blog en WordPress, en este post te detallo los pasos.

¿Qué es el aviso legal de cookies?

El aviso legal de cookies es un pequeño pop up que aparece cuando ingresamos por primera vez a una web.

En él, se nos indica que:

  • se utilizan cookies, que son unos pequeños archivos que guardan información del visitante y
  • se utilizan para diferentes fines como:
    • monitorización de datos como por ejemplo, a través de Google analitycs o
    • cualquier banner con un track de rastreo o seguimiento como los que usan los sistemas de afiliados.

Tienes más información en esta guía completa sobre el uso de cookies, publicada hace unos meses en el blog.

Tendremos que informar a los visitantes siempre que:

  • tengas algún servicio que monitorice datos de alguna forma,
  • vendas algún tipo de espacio publicitario basado en la Cookies como Google Adsense o
  • formes parte de algún sistema de afiliados.

A continuación te indico cómo hacerlo.

 

 

Mejor plugin 2018 para configurar el aviso de cookies en WordPress

Si usas WordPress, podrás utilizar un pluguin muy sencillo pero eficaz que te permitirá resolver de manera sencilla la inserción del aviso legal de las cookies.

Se trata de Cookies Law Info.

Te explico los pasos para configurarlo.

1. Instala Cookies Law Info

Lo primero que tienes que hacer es:

  • ir al escritorio de tu WordPress,
  • en la sección Plugins /Añadir nuevo busca el plugin “Cokies Law Info” y
  • lo instalas.

Una vez completada la instalación aparecerá en el apartado “plugins” donde podrás activarlo.

2. Crea una página con la política de cookies

Después debes crear una página con la información que vas a mostrar sobre las cookies a tus visitantes.

Para ello, en la barra lateral izquierda del escritorio WordPress,

  • vas a Páginas y pinchas en Añadir Nueva.
  • Se abre la nueva página, pones el Título,
  • escribes el Texto que va a aparecer y
  • le das a Publicar.

En esa página debes incluir la siguiente información:

  • Qué es una cookie,
  • el tipo de cookies que utiliza tu blog e
  • aviso de cómo aceptar, bloquear o eliminar las cookies instaladas en un equipo mediante la configuración de las opciones del navegador que tenga instalado.

3. Configura Cookies Law Info

La configuración es bastante sencilla.

Tienes que traducir al español los textos que por defecto vienen en ingles sin borrar las etiquetas [“cookie_button] [“cookie_link] que crearan los botones y enlaces de “Aceptar” y “Leer más”, es posible elegir los colores de los textos y los botones.

Y lo más importante:

  • Añade la url de la página que creaste anteriormente con la información legal de las Cookies en el apartado de “custumize buttoms”.
  • En la parte de abajo guarda los cambios en “Update Settings”.

Otros plugins de WordPress para cookies

Existen otras soluciones para WordPress y que te permitirán resolver el problema de las cookies en tu web o blog.

Asesor de Cookies para la ley española

Una herramienta para las Cookies muy especializada en España.

Existen opiniones de todo tipo sobre este plugin, para algunos funciona bien, pero otros no dicen lo mismo.

Te recomiendo que lo instales solo si no te funciona Cookies law info.

Cookie warning

Es un buen plugin en el sentido de que cumple con la ley.

Es posible que sea demasiado estricto y no se actualiza desde hace tiempo. Pero tiene bastante instalaciones activas y es una buena alternativa.

Cookie Notice

Este es una buena opción y permite configurar mas cosas que el resto.

Las características de este plugin son:

  • Posibilidad de personalizar el texto del plugin que se expone a los visitantes.
  • Se puede redirigir a los usuarios a una página especifica para obtener más información de las cookies.
  • Es posible establecer caducidad de las cookies.
  • Establecer la posición del cuadro de mensaje de cookies.
  • Animar el cuadro de mensaje después de aceptarse las cookies.
  • Opción de elegir botones de estilo; Ninguno, WordPress y Bootstrap.
  • Determinar los colores de fondo del texto y de las barras.
  • Puede compaginarse con plugins de idiomas como WPML y Polylang.
  • Se incluye archivo .pot para traducciones.

Personalmente prefiero el otro por su sencillez y simpleza pero puede resultar una buena opción para solucionar el tema si Cookies law info es incompatible.

Configurar el aviso de cookies sin plugin

Aunque existen varias aplicaciones o herramientas que permite la configuración del aviso de cookies, te hablaré de una en concreto que permite más personalización del aviso de privacidad y política de cookies.

Es un script con el que a través de unas elecciones que vas haciendo, fabrican el código por ti.

Facilísimo, ya lo verás.

Entra en Cookie Consent by Insites y pincha en Download.

A la izquierda (Configure) es dónde vas a realizar los cambios y a la derecha (Copy the code) aparece el código, que posteriormente vas a copiar y pegar en tu web o blog. Se va creando conforme vas haciendo las modificaciones.

Ahora te explicaré paso a paso cómo configurarlo.

1. Posición

Debes escoger dónde va a aparecer ese aviso:

  • Banner botton: Barra horizontal de un lado a otro de la pantalla abajo del todo.
  • Banner top: Barra horizontal de un lado a otro de la pantalla arriba del todo.
  • Banner top (pushdown): Igual que el anterior, pero la barra aparece al pasar el cursor.
  • Floating left: En forma rectangular a la izquierda de la pantalla.
  • Floating right: Igual que el anterior pero a la derecha de la pantalla.

2. Estilo (Layout)

Puedes elegir entre varios estilos:

  • Block: Es el diseño que ves, es más alto que los demás tanto si eliges un flotante como una barra.
  • Classic: Es más bajito que el anterior, más rectangular.
  • Edgeless: Es como el classic pero el botón ocupa toda la horizontal si eliges flotante y toda la vertical si eliges barra.
  • Wire: Es como el block pero con el botón sin relleno de color.

3. Colores

Aquí tienes varias opciones:

  • Elegir una paleta de color predeterminada.
  • Crear tu propio aviso con tus colores personalizados.
  • Combinar ambas opciones; elegir una paleta predeterminada, por ejemplo que te vaya bien el fondo y cambiar el color del botón por el tuyo propio.

4. Link de leer más

En este paso tienes dos opciones de personalización para el enlace “leer más”:

  • Link to cookiesandyou.com: Para que enlaces ese “leer más” a una página que nos proporciona Cookie Consent.
  • Link to our own policy: Para enlazarlo a tu propia página creada previamente.

5. Tipo de conformidad (Compliance type)

En este caso tienes otras 3 opciones de personalización:

  • Just tell users that we use cookies: Solo aparecerá el botón de aceptar/habilitar cookies (o que está de acuerdo).
  • Let users opt out of cookies: Además del botón de aceptar aparecerá otro botón de desabilitar cookies (o que no está de acuerdo).
  • Ask users to opt into cookies: Opción avanzada en la que el visitante puede elegir qué cookies acepta y cuales no.

6. Personalizar texto

En ese caso puedes personalizar el texto:

  • Message: El texto dónde das la información sobre el uso de cookies.
  • Dismiss button text: El texto que quieres poner en el botón de “acepto”.
  • Policy link text: Texto que pondrás en el link que lleve a tu página con toda la información sobre la privacidad y uso de cookies (“leer más” por ejemplo).
  • Denny button text: Este solo aparece si en el paso 5 elegimos la segunda opción de deshabilitar cookies.

Una vez has acabado todos los pasos, solo te queda copiar el código que has creado.

Y guardar los cambios.

¿Te ha resultado interesante el post?

¿Prefieres usar un plugin para configurar el aviso de cookies o configurarlo tú mismo?

Espero tus comentarios.

¿Necesitas cumplir el RGPD?

Revisa los enlaces legales en tu web

A veces en los detalles más simples puede esconderse el error. Así por ejemplo uno puede esforzarse en redactar un más que correcto Aviso Legal, en diseñar una adecuada política de respuesta a la petición de ejercicio de los derechos ARCO, en definitiva en cumplir los preceptos básicos de la Ley Orgánica de Protección de Datos (LOPD) y de la Ley de Servicios de la Sociedad de la Información (LSSI), y sin embargo encontrarse con que a la hora de insertar los correspondientes enlaces en su sitio web, en la firma de su email o en documentos electrónicos, nadie recordó comprobar si funcionaban corrrectamente.

Read more

Guía sobre LSSI-CE – ¿Qué es? ¿Cómo cumplir la ley este 2019?

La LSSI es la normativa que regula las actividades comerciales realizadas a través de internet. ¿Qué obligaciones establece para las empresas online? ¿Qué derechos asisten a los usuarios? Te lo contamos todo en esta guía sobre la LSSI-CE.

¿Qué es la LSSI-CE?

La LSSI o Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, es una normativa que regula las actividades económicas a través de internet, entendiendo éstas como aquellos productos o servicios ofertados a través de páginas webs, tiendas online y correo electrónico. Quedan excluidos de esta definición los productos o contenidos audiovisuales emitidos por internet.

Objetivos de la LSSI

Uno de los principales objetivos de la LSSI-CE es adaptar la normativa española a las exigencias de las nuevas tecnologías y modelos de negocio. En este sentido, las metas de la normativa son:

  • Fomentar el desarrollo de empleo y la economía en el ámbito digital.
  • Lograr un escenario de libre competencia en el marco de las telecomunicaciones.
  • Impulsar el desarrollo de redes e infraestructuras.
  • Establecer un marco legal claro al que puedan atenerse tanto prestadores de servicios como usuarios de internet.

¿Quiénes deben cumplir la LSSI?

Tienes una página web en la que vendes productos. Perfecto. La entrada en vigor del nuevo RGPD y la próxima actualización de la LOPDGDD han provocado que te entren dudas sobre las nuevas exigencias sobre información y protección de datos en internet. Y encima, ahora te dicen que también tienes que cumplir la LSSI.

¿Agobiado? No te preocupes, estamos aquí para ayudarte. La primera pregunta que debes hacerte es: ¿quién está obligado a cumplir la ley de servicios de la sociedad de la información? La respuesta es que están obligados a cumplir la LSSI todas aquellas personas físicas o jurídicas que realicen operaciones económicas por internet.

Esto incluye páginas web cuyos ingresos se obtengan de forma directa (venta de productos o servicios) o indirecta (publicidad online, banners, patrocinios, etc).

Se trata de una ley de aplicación en el territorio español, pero que afecta a personas físicas o jurídicas de toda la UE siempre que la gestión del negocio se lleve desde España, posea alguna sucursal en el país o realice la mayor parte de sus operaciones comerciales en el territorio nacional.

Para resumir. Si tienes una página web, vendes productos o tienes ingresos derivados de actividades comerciales o publicitarias, y realizas esta actividad desde España, la LSSI va dirigida principalmente a ti..

adecuacion a la ley de servicios de la sociedad de la informacion y comercio electronico en proteccion de datos

Disposiciones generales de la LSSI

La LSSI establece una serie requisitos, obligaciones y derechos para los prestadores de servicios comerciales a través de internet y para los usuarios.

Estas disposiciones generales regulan las actividades comerciales en internet y establecen los procedimientos sancionadores en caso de no cumplirla normativa. Estos son algunos de los puntos más importantes de la LSSI. No los pierdas de vista.

¿Necesitas cumplir el RGPD y la LSSI?


¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos.


Obligación de informar

El artículo 27 de la LSSI señala la obligación de informar por parte del prestador del servicio. Esta obligación de informar se da en una triple vertiente:

  • Sobre el propio prestador del servicio
  • Sobre las condiciones del servicio
  • Sobre el producto y las condiciones de contratación

De forma general, toda información relativa a estos conceptos debe mostrarse de forma clara, permanente y comprensible para el usuario. Esto significa que estos datos deben figurar de forma visible en la página principal de la web o en un apartado debidamente identificado.

Datos del prestador del servicio

Como persona física o jurídica que realiza actividades económicas a través de internet, es necesario ofrecer al usuario determinada información:

  • Denominación social
  • NIF
  • Domicilio
  • Dirección de correo electrónico
  • Teléfono o Fax
  • Cualquier otro dato relevante para la identificación del prestador

Toda esta información debe estar en un lugar claramente visible y accesible para el cliente. Nuestra recomendación es que lo hagas en un apartado denominado “Quienes somos”.

Condiciones del servicio

Las condiciones del servicio son todos aquellos textos legales e informativos que debes incluir en tu web comercial o ecommerce. Entre ellos podemos citar el Aviso legal o la Política de privacidad.

Un espacio aparte merece la Política de cookies. Toda página web que utilice cookies para la elaboración de estrategias de marketing o envío de correos electrónicos, debe obtener el consentimiento expreso del cliente, mostrando un aviso de política de cookies en un lugar visible de la web.

Información sobre productos y condiciones de contratación

Del mismo modo, cualquier prestador de servicios debe proporcionar información verídica y comprobable acerca de los productos o servicios ofertados. Esto incluye INFO básica sobre el producto o servicio, como características, precio, etc.

También es necesario que como consumidores o compradores se pueda acceder a las condiciones de contratación antes de comprar el producto. En estas condiciones de contratación se debe estipular todo lo relativo al contrato de compraventa:

  • Métodos de pago
  • Políticas de devolución
  • Trámites a realizar
  • Lengua en que se redacta el contrato
  • Lugar de redacción de contrato
  • Medios para identificar y subsanar errores

Envío de comunicaciones comerciales por medios electrónicos

El apartado anterior se refiere a la información que como prestador de servicios comerciales debes ofrecer en tu web. O, visto de otra manera, si eres un simple usuario, es la INFO que deberías poder ver en una web que quiere venderte algo.

Pero, ¿qué pasa con los correos electrónicos? ¿Cómo se regula el envío de comunicaciones comerciales por medios electrónicos?

Básicamente, cualquier persona física o jurídica que cumpla con los requisitos anteriores puede enviar comunicaciones comerciales a través de medios online siempre y cuando el destinatario lo haya aceptado de forma expresa e inequívoca.

Asimismo, esta aceptación puede ser revocada en cualquier momento, y el prestador de servicios debe ofrecer los mecanismos adecuados para realizar este proceso de forma telemática y gratuita..

Cabe destacar que una web o tienda online puede enviar mensajes publicitarios a usuarios o con los que exista un contrato anterior, siempre y cuando se trate de productos o servicios similares a los contratados previamente.

Publicidad móvil: La LSSI y los SMS o MMS

Los SMS o MMS también son considerados por la LSSI como canales de comunicación electrónicos, por lo que la publicidad enviada a través de estos canales está sujeta a los mismos requisitos.

Ofertas y promociones comerciales

Toda aquella información comercial relativa a descuentos, ofertas, promociones, juegos, sorteos o concursos debe informar acerca de:

  • Identidad del anunciante y del remitente
  • Tipo de promoción
  • Condiciones de participación

Consentimiento expreso

La obligación del consentimiento expreso es uno de los aspectos fundamental es de la LSSI, recogida también por otras leyes como la Ley Orgánica de Protección de Datos.

Como prestador de servicios, debes saber que´no puedes almacenar cookies o enviar ofertas comerciales si no tienes el consentimiento del usuario. Como usuario, solo deberías recibir ofertas comerciales si lo has aceptado de forma explícita.

Pero, ¿cómo se obtiene el consentimiento expreso? Básicamente existen dos métodos:

  • Mediante un proceso de suscripción o contratación que incluya una check box en la que el usuario haga check in de forma voluntaria.
  • A través de un formulario en el que el usuario pueda introducir el correo electrónico.

Como ves, en cualquiera de ambos casos se requiere de la participación activa por parte del usuario. Es decir, ya no sirve con el consentimiento tácito o por omisión.

Prestadores de acceso a internet

Si eres una persona física o jurídica cuya actividad se basa en permitir el acceso a internet o correo electrónico (proveedores de servidores, hostings o cuentas de correo electrónico, sistemas operativos, etc) también deberás informar acerca de:

  • Herramientas tecnológicas dispuestas para la protección de los usuarios frente a virus, spam, phishing y otros contenidos o comportamientos no deseados.
  • Responsabilidad del usuario respecto al uso de internet con fines no lícitos, incluyendo la vulneración de la intimidad y las propiedades industrial e intelectual.

Últimas novedades en la LSSI

La ley 9/2014, de 9 de mayo ha modificado algunos puntos del texto original, adaptándola a las nuevas exigencias del medio digital. Algunas de las novedades incluidas en la última adaptación de la LSSI son las siguientes.

Aplicación de códigos de conducta

La ley prevé que las administraciones públicas promuevan la creación de determinados códigos de conducta de acuerdo a la ley. Mediante la debida coordinación y asesoramiento, estos códigos deberían empezar a implantarse tanto a nivel local como internacional.

Consentimiento para el uso de cookies

Otra novedad de la LSSI es que no es necesario volver a aceptar las cookies al realizar la actualización del navegador. Siempre y cuando el navegador lo permita, el consentimiento se considera otorgado.

aviso alerta

El incumplimiento de la LSSI puede conllevar serias infracciones

Infracciones en la política de cookies

Se definen los tipos de infracciones existentes por no cumplir la política de cookies, y se establecen las multas y sanciones en cada caso. Se distingue entre:

  • Infracciones leves: multa de hasta 30.000 euros, dependiendo de factores como el beneficio obtenido o la prolongación de la infracción en el tiempo.
  • Infracciones graves: reincidir en un plazo menor de 3 años. Multas entre 30.001 y 150.000 euros.

Uso de los términos “Publi” o “Publicidad”

Hasta esta actualización de la LSSI, era necesario marcar la publicidad claramente con términos como “Publicidad”, “Publi” o similares. Ahora ya no es obligatorio.

Infracciones por spam

A partir de ahora se considerará como infracción grave por spam el envío masivo de correos electrónicos de forma sistemática. Sin embargo, también se añaden una serie de atenuantes que permiten a la empresa rebajar o evitar la sanción:

  • El infractor ha reconocido su culpa y ha intentado solucionar su situación a la menor brevedad.
  • Existe la certeza de que el afectado o denunciante ha actuado de forma ilícita.
  • Se ha producido una fusión o absorción y la infracción es anterior a ese procedimiento.
  • Se estima que la infracción no es grave, sino leve, en cuyo caso, y si es la primera vez, no se recibiría sanción, sino un apercibimiento.

Preguntas frecuentes

¿Es necesario obtener alguna autorización como prestador de servicios online?

Por norma general, NO necesitas ningún tipo de autorización especial para ofrecer productos y servicios en el entorno online.

Sin embargo, hay algunos ámbitos profesionales en los que sí es necesario obtener determinadas autorizaciones administrativas. Es el caso de las profesiones colegiadas, los prestadores de acceso a internet o algunos establecimientos, caso de las farmacias.

Aparte de no requerir autorización, tampoco se necesita inscribirse en ningún tipo de registro para inscribirse como prestador de servicios en medios electrónicos (aparte de los realizados en su momento como autónomo o empresa).

¿Debo cumplir la LSSI si mi servidor está en otro país?

Siempre que las decisiones relativas a los servicios ofrecidos por un prestador de servicios se tomen en España, se debe cumplir la LSSI. Esto afecta también a las empresa cuyos servidores están alojados en otro país.

¿Qué dice la LSSI sobre los números de tarificación adicional?

Las empresas o prestadores de servicios puede usar números de tarificación adicional (teléfonos de coste superior a una llamada normal) siempre y cuando cuenten con el consentimiento expreso del cliente.

Para ello, hay que informar al usuario sobre las características del servicio, su coste, el software a descargar (si lo hubiera) o el número de teléfono que se va a marcar.

¿También se aplica la LSSI a las administraciones públicas?

Generalmente NO, ya que no entran en la definición de prestador de servicios definida en la LSSI.

Solo se le aplica en casos en los que alguna entidad pública o dependiente de un organismo público realice operaciones de tipo comercial, por ejemplo una Oficina de Turismo que vende libros o productos típicos de la zona.

Tengo una web que ofrece INFO sobre productos pero no los vende directamente. ¿Me afecta al LSSI?

. Es el típico caso de las páginas web de afiliados como Amazon. Aunque no vendas el producto directamente, lo haces a través de terceros, sacando un beneficio económico de ello. Además, hay que distinguir claramente la publicidad de otras marcas o empresas del contenido propio.

¿Y si tengo una web o blog personal?

No tienes que cumplir con la LSSI, siempre y cuando tu web o blog personal no realice ningún tipo de actividad económica ni perciba ingresos derivados de la publicidad o patrocinios.

Por ejemplo, si en tu web tienes banners de publicidad de terceros, por ejemplo Google Adsense, en ese caso sí debes cumplir la LSSI, ya que se obtiene beneficio económico de ello.

No sucede lo mismo en caso de que los banners publicitarios no repercutan en ganancias para el titular de la web, por ejemplo en los dominios gratuitos que se financian a través de publicidad.

¿Qué es el Certificado LSSI?

El Certificado LSSI es un distintivo que pueden solicitar todas aquellas páginas web que no realizan ningún tipo de operación comercial y con las que no se obtienen beneficios económicos. Es un certificado gratuito y se puede obtener a través de diversas empresas en la red.

¿Cómo proceder si recibo spam o info no deseada?

El primer paso si estás recibiendo correos electrónicos comerciales no deseados es comprobar la configuración del proveedor de acceso a internet, y activar los filtros anti spam.

En caso de que el envío de spam no cese, y si consideras que se están vulnerando los artículos 21 o 22 relativos a la prestación de consentimiento, puedes enviar el caso a la Agencia Española de Protección de Datos (AEPD).

Esto ha sido todo en nuestra Guía LSSI. Esperamos haberte ayudado con una normativa que afecta a una inmensa cantidad de páginas web en España. Si te ha quedado alguna cuestión sin resolver, no dudes en ponerte en contacto con nosotros.

Guía sobre privacidad digital en internet

El derecho a la privacidad se ha visto afectado por la irrupción de las nuevas tecnologías. El desarrollo de internet y la era digital ha dado paso a nuevos retos en la protección de datos de usuarios. En esta guía sobre privacidad digital te contamos todo lo que debes saber sobre este delicado tema.

Qué es la privacidad digital

En términos generales, la definición de privacidad digital se entiende como el control que un usuario de internet puede ejercer sobre sus datos, limitando el acceso de otras personas o instituciones a su información privada.

El significado de la privacidad digital ha ido evolucionando con el paso del tiempo. Los requisitos en materia de seguridad y protección de datos privados han ido aumentando con el desarrollo de internet y la era digital. A ello se unen las nuevas exigencias que introduce el RGPD de aplicación en toda la Unión Europea.

Privacidad en internet

La privacidad en la red siempre ha sido un tema polémico. Muchos usuarios desconocen cuáles son sus derechos sobre sus datos, o quiénes están accediendo a su información personal. Por otro lado, algunas empresas necesitan para gestionar su privacidad digital abogados que les puedan aconsejar con el cumplimiento de la normativa.

El nuevo Reglamento General para la Protección de Datos hace especial hincapié en la regulación del entorno digital. Con esta nueva ley se pretende armonizar toda la normativa europea relativa a privacidad digital en internet..

Páginas web

Una página web es un documento digital que se aloja en un servidor y muestra al usuario información en forma de texto, fotografías, vídeos, etc. Existen muchos tipos de webs: páginas corporativas, tiendas online, blogs personales, medios de comunicación especializados, etc.

Todas las páginas web es que deben cumplir con los aspectos legales de la privacidad digital. Cualquier empresa online debe informar al usuario sobre el tratamiento de sus datos. El individuo debe dar su consentimiento explícito y comprobable para el uso de su información personal.

Los requisitos legales en privacidad digital que deben cumplir las páginas web vienen reflejados en tres apartados obligatorios: aviso legal, política de privacidad y política de cookies.

Aviso legal

El aviso legal se refiere a los términos y condiciones de uso de una web. En él se explica el objetivo de la página, sus contenidos o su modo de funcionamiento. Tanto el propietario de la página como los visitantes deben respetar estas normas.

Política de privacidad

Si una página web tiene registro, estará tratando con la información personal de sus usuarios. Para establecer un límite al uso que una empresa puede hacer de estos datos, existe la política de privacidad.

Para cumplir con las políticas de privacidad, se debe indicar a la AEPD el tratamiento que se hará de los ficheros. También se debe redactar un texto legal en un apartado visible de la web. Las políticas de protección de datos y privacidad han de ser aceptadas por el usuario mediante una casilla de verificación.

Cualquier persona puede denunciar una web si no cumple con las políticas de privacidad digital. Las multas pueden llegar a 600.000 euros.

Cookies

Las cookies son archivos que se guardan en el ordenador al navegar por determinadas páginas web. Estos archivos permiten realizar un seguimiento del comportamiento de los usuarios en internet, normalmente con objetivos comerciales.

Toda página web debe informar el usuario de su política de cookies. Los visitantes deben dar su consentimiento expreso para la colocación de la cookie. No cumplir con la normativa puede conllevar sanciones de 150.000 euros.

Redes sociales

No cabe duda que la privacidad de la información digital se ha visto comprometida por la irrupción de las redes sociales. Estas plataformas han cambiado la forma en que la gente se relaciona en internet. Los social media ofrecen muchas ventajas para la comunicación, pero también tienen algunos riesgos para la privacidad digital.

¿Cómo se trata la información de los usuarios en redes sociales como Facebook, Twitter o Instagram? ¿Dónde realizar los ajustes de privacidad?

Facebook

Facebook es la red social con más usuarios del mundo. Se ha visto envuelta en algunos escándalos de fugas masivas de datos que han afectado a millones de personas. A pesar de ello, la mayor parte de gente sigue usándola sin preocuparse por la seguridad de sus datos.

¿Cómo saber cómo usa Facebook tus datos? Puedes saberlo entrando en estos enlaces:

El usuario puede configurar la privacidad en Facebook a través de su perfil personal. ¿Qué opciones de gestión hay?

  • Decidir quién accede a su perfil o publicaciones actuales y antiguas.
  • Crear listas de amigos personalizadas.
  • Administrar bloqueos.
  • Establecer las condiciones para las sugerencias de amistad.
  • Cambiar la privacidad de las fotos.
  • Definir el uso de las etiquetas.
  • Limitar el acceso a la información de aplicaciones.
  • Cambiar los parámetros para los anuncios.

Para más información, visita nuestro artículo sobre privacidad en Facebook.

Instagram

Instagram es una plataforma de social media donde las grandes protagonistas son las fotografías. Fue adquirida por Facebook en el año 2012. Al igual que todas las empresas, está obligada a cumplir con las nuevas leves de privacidad y protección de datos.

El Centro de privacidad y seguridad de Instagram establece las políticas de datos de la red social. También se informa sobre las opciones que tiene el usuario para configurar la privacidad digital en Instagram (columna de la izquierda)

Twitter

La configuración de privacidad en Twitter permite al usuario controlar sus datos personales. ¿Qué se puede hacer para proteger la información privada en Twitter?

  • Poner el perfil público o privado.
  • Cambiar el nombre de usuario, contraseña, email o número de teléfono.
  • Decidir la privacidad y ubicación de los tweets.
  • Administrar contactos.
  • Permitir que otros tuiteros te encuentren (o no) por tu correo electrónico.
  • Modificar la visibilidad de las fotos.
  • Decidir la forma en que Twitter recoge contenido y recolecta los datos.
  • Activar o desactivar mensajes directos.
  • Bloquear usuarios.
  • Silenciar usuarios o palabras.
  • Gestionar las notificaciones.

Para saber la forma en que Twitter trata tus datos y las opciones que tienes para proteger tu INFO personal, te recomendamos visitar su actualización de los términos del servicio..

Aplicaciones

El desarrollo de internet y el entorno digital ha favorecido la aparición de aplicaciones para dispositivos móviles. Hoy en día existen apps de todo tipo: servicios de mensajería instantánea como WhatsApp o Telegram, herramientas de gestión o incluso plataformas para conocer gente como Tinder o Badoo. Pero, ¿cuáles son las políticas de privacidad digital de las aplicaciones más conocidas?

WhatsApp

Por defecto, la privacidad en WhatsApp permite a otros usuarios:

  • Ver las actualizaciones de estado de los contactos.
  • Visualizar las confirmaciones de lectura.
  • Ver las actualizaciones en la información o foto de perfil.
  • Visualizar la hora de última conexión.

Estos parámetros se pueden cambiar en el menú del dispositivo móvil. ¿Cómo cambiar la configuración de privacidad en WhatsApp?

  • Android: Menú > Ajustes > Cuenta > Privacidad.
  • iOS: Configuración > Cuenta > Privacidad.

Tinder

Tinder es una aplicación de citas a la que se accede mediante la cuenta de Facebook. Técnicamente es imposible acceder a Tinder sin vincular una cuenta de Facebook. Por tanto, las políticas de privacidad de ambas plataformas están relacionadas.

La privacidad en Tinder no es cosa de broma. Muchos usuarios no quieren que su actividad en Tinder sea visible para sus contactos en Facebook. Solo hay dos maneras de registrarse en Tinder sin Facebook.

  • Crear una nueva cuenta de Facebook con otro correo electrónico y vincular Tinder a este nuevo perfil. No es registrarse sin Facebook, pero al menos sí sin el perfil habitual de Facebook.
  • Ir a la configuración del perfil en Facebook. Entrar en la sección Aplicaciones, seleccionar Tinder y cambiar la visibilidad a «solo yo».

Las políticas de privacidad de Tinder se han adaptado para cumplir con el nuevo reglamento europeo, como puedes ver en este enlace (en inglés).

Badoo

Badoo es una web de citas con aplicación para dispositivos móviles. En su política de privacidad se definen sus obligaciones respecto al tratamiento de datos de usuarios:

  • ¿Qué información procesa Badoo si opero desde mi ordenador? ¿Y desde el teléfono móvil?
  • ¿Cuál es la base jurídica para el tratamiento de datos?
  • ¿Cuánto tiempo almacena Badoo los datos personales?
  • ¿Cuál es su política respecto a los menores de edad?
  • ¿Qué información recopila sobre mis contactos?
  • ¿Con quien comparte la información?
  • ¿Cuál es la política de cookies?

El usuario puede modificar los parámetros de su cuenta en la sección Configuración, dentro de su perfil personal. Desde aquí se configuran aspectos como:

  • Mostrar estado online.
  • Indicar distancia a otros usuarios.
  • Decidir quién puede ver el perfil..
  • Modificar el nivel de seguridad de acceso.
  • Activar la navegación segura.
  • Permitir localización por email.
  • Configurar la visibilidad de fotos y vídeos.

Correos electrónicos

Los correos electrónicos siempre han supuesto uno de los principales riesgos para la seguridad y privacidad digital. En la historia de internet, los emails se han usado con frecuencia para el envío de virus y archivos maliciosos con el objetivo de infectar ordenadores. Esto ha dado lugar a nuevos problemas para la privacidad en internet del usuario, como el spam, el phising o suplantación de identidad, etc.

El nuevo RGPD indica cómo deben proceder los servicios de correo electrónico para proteger la privacidad de sus usuarios. Además, establece nuevos requisitos para que otras personas o empresas puedan acceder a las direcciones de correo electrónico de los usuarios con el objetivo de enviar publicidad o promociones comerciales.

Gmail

La privacidad en Gmail está supeditada a las condiciones del servicio y políticas de Google.

Hace poco se descubrió que algunas aplicaciones de terceros tenían acceso a la bandeja de entrada de Gmail, sin permiso del usuario. ¿Cómo evitar esta brecha en la privacidad de forma manual?

Se puede ver y limitar el acceso que otras aplicaciones tienen al correo de Gmail siguiendo los siguientes pasos:

  • Ingresar a la cuenta de Google.
  • Inicio de sesión y seguridad.
  • Aplicaciones con acceso a la cuenta.

Si quieres saber más te recomendamos visitar el artículo sobre Privacidad en Google.

Outlook

Outlook es el servicio de correo electrónico de Microsoft. Para darse de alta en el servicio es necesario crear una cuenta en Microsoft. Los aspectos referidos a la privacidad y tratamiento de información en los servicios de la empresa se indican en este enlace.

En la sección Otra información importante sobre privacidad se pueden consultar las medidas que adoptar Microsoft para garantizar la seguridad de los usuarios. Por ejemplo, dónde se almacenan los datos y por cuánto tiempo, y las normas sobre la recopilación de datos de menores.

Consejos para proteger tu privacidad en internet

¿Cómo proteger la privacidad en internet? En la era digital el anonimato en la red es prácticamente imposible, pero sí hay formas de proteger nuestros datos. Sigue estos consejos para mantener tu información personal a salvo.

  • Evitar dar nombres de usuario, contraseñas, número de teléfono u otros datos privados.
  • No descargar o admitir archivos de origen desconocido o poco fiable.
  • Mantener actualizados los programas antivirus..
  • Usar sistemas de guardado y cifrado de passwords como Lastpass.
  • Leer las políticas de privacidad y términos de uso antes de hacer registros o aceptar las condiciones del servicio.
  • No compartir en redes sociales fotografías o información de carácter privado.
  • Prestar especial atención al teléfono móvil, por ejemplo los permisos que se otorgan a las aplicaciones.

La última recomendación es poner en práctica cada cierto tiempo el egosurfing. ¿En qué consiste el egosurfing? Es una práctica que consiste en repasar periódicamente los perfiles en internet y redes sociales para controlar lo que otros ven de ti. Una manera de preservar la identidad en el mundo digital.

Novedades en privacidad en la era digital

La importancia de la privacidad digital ya no se reduce al ámbito de los ordenador. Ni siquiera al de los teléfonos móviles. El avance hacia un mundo conectado provoca que cada vez haya más dispositivos que permiten el acceso a la información de usuarios. ¿A qué retos de futuro se enfrenta en internet la privacidad?

  • Servicios de juego online. Empresas como Sony, Microsoft, Nintendo o Valve cuentan con acceso a la información de sus usuarios en las cuentas de Playstation Plus, XBox Live, Switch Online o Steam..
  • Streaming de vídeos: el modo de compartir contenidos evoluciona de las redes sociales al streaming en directo de vídeos. Quedan muchas cuestiones por resolver, como el control de acceso de menores de edad a contenidos de streaming para adultos.
  • Nuevos dispositivos: la entrada en juego de las smart TV, los relojes o pulseras inteligentes y muchos otros gadgets y accesorios multiplican los canales por los cuáles la privacidad se puede ver afectada.

La seguridad y privacidad digital son cada más importantes en este mundo global y conectado. Esperamos que esta guía te haya servido para resolver dudas. Si tienes cualquier otra pregunta, te esperamos en los comentarios.

RGPD & LOPD en Marketing y publicidad

El Reglamento europeo de Protección de Datos ya está aquí.

Y todos estamos un poco preocupados.

Pero las empresas dedicadas al marketing y publicidad aún más.

Porque ahora cambiarán mucho las cosas y, a la hora de enviar comunicaciones comerciales, debes asegurarte de hacerlo correctamente.

Para ayudarte con la adaptación de tu empresa de publicidad a la normativa de protección de datos, aquí tienes todos los pasos a seguir.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos en publicidad son:

Novedades del RGPD en marketing

En tu empresa de publicidad y márketing debes realizar las siguientes actuaciones para adaptarte al RGPD:

  1. Consentimiento de clientes
  2. Contratos con terceros
  3. Contratos con empleados
  4. Delegado de Protección de Datos
  5. Nuevos derechos para los usuarios
  6. Registro de actividades de tratamiento
  7. Evaluación de Impacto en Protección de Datos
  8. Textos legales en la página web
  9. Análisis de riesgos

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos

1. Consentimiento de clientes

Esto es muy importante.

¡Ojo!

Además de actualizar la política de privacidad, en la empresa de márketing debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la empresa

En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Cómo?

Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

2. Contratos con terceros

El sector publicitario se relaciona constantemente con terceros que también disponen de algunos de los datos de los usuarios.

¿Tienes una gestoría que lleva los temas fiscales y laborales de la empresa?

¿Una empresa informática que realiza el mantenimiento de los equipos y la página web?

Entonces cedes datos de tus clientes o empleados a terceros.

Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto, y asegurar que también cumplan la normativa de Protección de Datos.

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Contratos con empleados

¿Tienes trabajadores?

Entonces esto te interesa.

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En una empresa de publicidad, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Delegado de Protección de Datos

El RGPD también introduce la figura del Delegado de Protección de Datos.

¿Y ese quién es?

Se constituye como garante del cumplimiento de la normativa de protección de datos dentro de la propia entidad u organización. Esta figura podrá ser interna o externa, pero deberá cumplir con los requisitos de capacidad profesional necesarios. Entre otras funciones, el DPO se encargará de intermediar entre el responsable del tratamiento y los afectados, así como representarle ante las Autoridades de Control.

ejemplos proteccion de datos

Todos aquellos responsables que realicen análisis de perfiles, filmaciones a gran escala de lugares públicos o traten categorías de datos especiales a gran escala, entre otros, estarán obligados a designar un DPO en su organización.

5. Nuevos derechos para los usuarios

Esta nueva normativa establece una mayor protección para los usuarios proporcionándoles una serie de derechos:

Derecho de oposición

Los clientes tienen derecho a elegir cómo puede ser utilizada la información que facilitan.

Las empresas de márketing usan los datos de sus clientes para todo tipo de fines:

  • para definir la estrategia de marketing
  • suscribirlos a boletines de noticias
  • para diseñar perfiles destinados a ciertos grupos demográficos

Hasta ahora las empresas no estaban obligadas a comunicar a sus clientes la manera en que utilizaban sus datos.

Con el nuevo RGPD, facilitar esta información se convierte en un trámite necesario.

Derecho al olvido

Hasta ahora, las empresas se habían centrado en obtener la información de los clientes sin tener muy en cuenta cómo eliminarla a petición del interesado.

Las nuevas directrices del RGPD establecen que los clientes puedan decidir si desean que su información personal sea completamente eliminada del sistema de la empresa.

Y debes responder a la solicitud en un máximo de 30 días. Esto significa que tendrás que adaptar tu entidad para especificar qué clientes quieren ejercitar su derecho al olvido.

Derecho de rectificación

Esta normativa establece que los datos introducidos puedan ser modificados o corregidos.

Los clientes pueden solicitarte que les confirmes que los datos facilitados son completos y exactos, así como pedir aquellos cambios que sean necesarios. Este cambio también supondrá que necesitas incorporar procesos para notificar a los clientes la modificación de su información.

Derecho a la portabilidad

Este derecho supone para los interesados la posibilidad de transmitir sus datos personales a otra entidad, empresa, organización, proveedor de servicio, directamente desde tu entidad, siempre que técnicamente sea posible.

Facilita que los usuarios puedan cambiar de un proveedor de servicios a otro. Sin tener que solicitar sus datos y posteriormente entregarlos al nuevo operador. Se reducen los trámites y se agilizan, ya que el usuario simplemente debe pedir la portabilidad.

6. Registro de actividades de tratamiento

Con la entrada en vigor del nuevo RGPD se establece la obligación para las empresas de márketing o publicidad de llevar un registro de actividades de tratamiento.

Este registro, que puede almacenarse en papel o en formato digital, debe contener la siguiente información:

  • Nombre y datos de contacto del responsable y del delegado de Protección de Datos,
  • fines del tratamiento,
  • descripción de las categorías de interesados y de datos personales,
  • categorías de destinatarios a quienes comunicarás los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales,
  • si vas a realizar transferencias de datos personales a un tercer país o una organización internacional, identificando al mismo, e incluyendo la documentación sobre garantías adecuadas para determinados casos,
  • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos y
  • descripción general de las medidas técnicas y organizativas de seguridad que apliques para garantizar la integridad y confidencialidad.

7. Evaluación de impacto

Aquí viene lo más complicado.

No pierdas detalle.

Esta nueva herramienta prevista por la normativa europea supone que en tu empresa de márketing debes evaluar con carácter previo los riesgos a los que pueden verse sometidos los datos personales según los tratamientos que pretendas realizar.

Debes elaborar estos informes cuando las operaciones de tratamiento supongan riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines.

¿Qué tratamientos son esos?

Entre otros,

  • el procesamiento de datos personales de más de 5.000 personas en un plazo de 12 meses
  • la ocurrencia de un incidente de seguridad que afecte potencialmente a la protección de los datos personales
  • cuando las actividades centrales de una entidad impliquen la monitorización sistemática de datos personales

Deberás evaluar los riesgos de manera proactiva y regular.

Y realizar cambios estructurales para evitarlos o reducirlos además de disponer de un plan de contingencias adecuado.

Entonces, ¿tengo o no tengo que hacerla?

En tu empresa de publicidad y márketing debes realizar una Evaluación de impacto ya que te dedicas a la elaboración de perfiles de clientes.

Toda persona tiene derecho a que no se haga un perfil que cause efectos legales o que le afecte de manera significativa. Solo podrás elaborar perfiles si existe un contrato y proteges los intereses legítimos de la persona o ha dado su consentimiento expreso.

8. Página web

Si tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la empresa de publicidad y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

9. Análisis de riesgos

En la empresa debes también realizar análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios
    • financieros
    • sensibles …
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

10. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que seas víctima de un ciberataque o infracción, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Preguntas frecuentes

¿En qué casos puedo enviar comunicaciones comerciales?

Sólo cuando tengas el consentimiento expreso de los clientes para ello.

Se permiten este tipo de emails, cuando:

  • La comunicación comercial vaya destinada a una empresa o persona física que sea cliente, esto es, haya existido una relación contractual con la misma.
  • La comunicación comercial, aun cuando no vaya destinada a un cliente, haya sido solicitada o expresamente autorizada por el mismo.

¿Qué requisitos deben cumplir los correos publicitarios?

Los correos electrónicos comerciales deben cumplir las siguientes normas:

  • indicar de forma clara la finalidad del mensaje,
  • ofrecer la posibilidad al destinatario de oponerse al tratamiento de sus datos con fines promocionales de forma gratuita y sencilla y
  • proveer a los receptores de una dirección de correo electrónico válida para poder revocar en cualquier momento el consentimiento otorgado.

¿Cuánto tiempo puedo conservar los datos de mis clientes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En el marketing y la publicidad se trata con una gran cantidad de documento que pueden contener datos personales o de empresas. Todos esos documentos se almacenaban indefinidamente. Sin embargo, con la nueva ley, será necesario que la empresa determine un tiempo máximo de almacenamiento de los datos y se asegure de la destrucción confidencial de documentos.

Con carácter general el plazo máximo de conservación de los datos es de 5 años.

¿Puedo comprar bases de datos para hacer mailing?

Definitivamente, la respuesta es no.

Cuando eres una empresa y realizas email marketing (una técnica muy útil para informar a tus clientes de nuevos artículos, ofertas o promociones y promover la fidelidad), es necesario contar con una base de datos amplia para obtener los resultados esperados. Sin embargo, para poder hacer estos envíos a tus clientes o a tu público potencial, debes de tener primero su consentimiento expreso. Esta es la principal diferencia entre el email marketing (legal) y el spam (ilegal y sancionable).

¿Puedo comunicarme con mis clientes a través de WhatsApp?

No puedes hacerlo si no tienes el consentimiento expreso de los clientes para ello.

Con el RGPD los autónomos y empresas que utilicen WhatsApp con sus clientes podrían ser multados al ser éstos los responsables del tratamiento de los datos de sus clientes, sobre todo si no se ha requerido el consentimiento del afectado de forma libre, informado y específico. Es decir, hay que advertir que WhatsApp puede compartir sus datos con la red social de forma clara para que el usuario consienta dicho traspaso de información.

¿Puedo seguir enviando campañas de marketing a mi lista de contactos actual?

, pero necesitas renovar el consentimiento de esos contactos.

El Reglamento General de Protección de Datos no se aplica solo a la información recopilada a partir del 25 de mayo de 2018, también a los datos recogidos con anterioridad. El registro de consentimiento de tus listas de contactos actuales, ¿prueba que tienes autorización clara para enviar campañas de email marketing para cada uno de los contactos? Cualquier registro ambiguo implicará la necesidad de obtener un nuevo permiso expreso por parte de tus antiguos contactos, para poder enviarles correctamente comunicaciones de email marketing.

Guías para…

Hemos preparado algunas guías para las herramientas de marketing más utilizadas:

Mailrelay

Aquí tienes una guía para cumplir el RGPD en Mailrelay (dicen que es la herramienta de email marketing en español más utilizada)

Modelos

Aquí te dejo los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa de publicidad.

Sanciones

Por último, la parte más escabrosa.

Pero, ¡cuidado!

No es ninguna broma.

El nuevo Reglamento General de Protección de Datos tendrá un impacto significativo en la publicidad digital, transformando la forma de recoger y tratar los datos.

El marketing no existiría sin los datos personales. Las compañías necesitan la información de los usuarios para poder seguir vendiendo productos y servicios. Por tanto, la recogida de datos personales es el objetivo principal de la mayoría de las campañas de marketing a nivel global.

Cada día recibimos correos y llamadas de empresas que, muchas veces, no sabemos quiénes son ni cuándo dimos nuestro correo o teléfono. Esto puede llegar a ser muy normal, tanto que nos llegamos a habituar a ello. Y, aunque nos quejamos una y otra vez, las comunicaciones no cesan.

El RGPD establece que cualquier empresa sólo podrá utilizar los datos de una persona si tiene un permiso explícito. De lo contrario, estará cometiendo una infracción grave y será multada por tal acción.

Y después de esto, ¿me cuentas tus estrategias para proteger los datos personales que manejas en tus campañas publicitarias y cómo informas a los usuarios? ¿Qué consideras fundamental para cumplir el RGPD?

Espero tus comentarios

¿Necesitas cumplir la LOPD?

Protección de Datos en Sindicatos

¿Sabes que los sindicatos también deben cumplir la normativa de Protección de Datos?

¿No sabes por dónde empezar?

No te agobies.

En este post tienes toda la información necesaria para adaptar tu sindicato a la ley de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos en los sindicatos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir los sindicatos el RGPD?

Los sindicatos también tienen en sus manos una gran cantidad de datos, de afiliados, de proveedores o de empleados, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

¿Qué datos personales manejas?

Cada vez que un usuario te deja sus datos para afiliarse o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar tu sindicato para adaptarse al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los socios
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Evaluación de impacto
  8. Notificar brechas de seguridad
  9. Nombrar un DPD

A continuación te explico detalladamente cada una de esas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos se manejan en el sindicato y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en los sindicatos son:

  • Afiliados
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

No me digas que no cedes datos a terceros.

¿Estás seguro?

También lo haces.

Cada vez que contratas una gestoría para llevar los temas fiscales o laborales.

O si tienes una empresa informática que realiza el mantenimiento de los equipos en el sindicato.

Estos son los Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

¿Qué tiene que incluir ese contrato? ¿lo sabes?

Como mínimo debe establecerse:

  • objeto, la duración, la naturaleza y la finalidad del tratamiento,
  • tipo de datos personales,
  • categorías de interesados, y
  • obligaciones y derechos del responsable.

3. Acuerdo de confidencialidad con empleados

Es posible que en el sindicato tengas contratados empleados.

O haya voluntarios.

¿A que sí?

Los empleados tienen acceso a toda la información que maneja el sindicato y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En los sindicatos los empleados disponen de un correo electrónico para comunicarse entre ellos y con afiliados y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Consentimiento de afiliados

Además de actualizar la política de privacidad, tu sindicato debe tener el consentimiento expreso de todos sus afiliados para poder tratar sus datos.

En el sindicato debes contar con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).

En él deben informar claramente de:

  • datos del responsable del tratamiento (sindicato),
  • finalidad concreta del tratamiento,
  • tiempo que se conservarán,
  • destinatarios si los hay (¿se ceden los datos a otras entidades?),
  • transferencias de datos internacionales si se realizan,
  • derechos de los afectados y cómo se pueden exigir estos y
  • datos del Delegado de Protección de datos (si el sindicato debe contar con uno o así lo ha decidido).

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Y cómo se hace?

Una buena opción sería enviar emails a los afiliados y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Página web

Si tienes página web, debes incluir los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web.

En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad del sindicato y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Análisis de riesgos

Presta atención porque esto es importante.

En el sindicato debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

7. Evaluación de impacto

Aquí viene lo más complicado.

Agárrate a la silla!

Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; e implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

Resumiendo

Los sindicatos realizan un tratamiento de categorías especiales de datos ya que manejan datos de afiliación sindical, considerados como datos sensibles. Por eso estás obligado a hacer esa Evaluación de impacto.

8. Notificar brechas de seguridad

¿Y esto qué significa?

No te preocupes que te lo explico.

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en el sindicato, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Delegado de Protección de Datos

En el sindicato debes designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Puede el sindicato publicar datos de los trabajadores afiliados en el tablón de anuncios de la empresa?

Solo en caso de que el acceso a esos tablones de anuncios sea de las personas legitimadas.

En las empresas o centros de trabajo, siempre que sus características lo permitan, se pondrá a disposición de los delegados de personal o del comité de empresa un local adecuado en el que puedan desarrollar sus actividades y comunicarse con los trabajadores, así como uno o varios tablones de anuncios.

Actualmente, resulta fácil encontrar en este tipo de tablones notas informativas, anuncios, convocatorias, declaraciones, sentencias, etc. Cuando estos documentos contienen datos personales la simple publicación de éstos constituye un tratamiento que puede comportar el acceso a datos por terceros carentes de legitimación.

¿Puede enviarse información sindical a los trabajadores?

, puede enviarse esa información sin su consentimiento.

Pero se reconoce el derecho de los trabajadores a mostrar su oposición a la recepción de mensajes con contenido sindical y, en ese caso, la obligación de los Sindicatos de cesar en el tratamiento de los datos de los solicitantes.

En lo referente a la información sindical remitida a los trabajadores en período electoral, debe concluirse que durante dicho período electoral debe prevaler el derecho a la actividad sindical sobre el derecho a la protección de datos.

¿Puede la empresa ceder datos de los trabajadores a los sindicatos?

, puede cederlos con el consentimiento del trabajador.

La cesión de datos más común a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la nómina. Se trata de una solicitud que debe realizar el propio trabajador, por lo que sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias.

¿Cómo puedo demostrar que mi sindicato cumple el RGPD?

Puedes demostrar el cumplimiento de las siguientes formas:

  • Estableciendo políticas internas de protección de datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados.
  • Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos.
  • Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu sindicato a la normativa de Protección de Datos.

Sanciones

Con esta nueva normativa se incrementan las exigencias en materia de Protección de Datos, y también las sanciones en caso de incumplimiento.

Las sanciones se endurecen considerablemente, con multas que pueden llegar a los 20 millones de euros o el 4% de la facturación global anual.

¿Ves como no es ninguna broma?

Algunos de los ejemplos de sanciones impuestas por la AEPD a sindicatos son:

No atender debidamente el ejercicio del derecho de cancelación

El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. Resolución AEPD R/01567/2018

Acceso a datos personales por terceros no autorizados

El responsable del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos. Resolución AEPD R/02729/2017

Ahora ya conoces lo que tienes que hacer para cumplir con el RGPD.

No pierdas más tiempo y ponte a ello.

¿Necesitas cumplir el RGPD?

Ley de llamadas telefónicas en España (incluye protección de datos)

Ya sea usando el teléfono para llamar a tus clientes potenciales o reuniéndote con clientes potenciales mientras realizas networking en eventos.

Son estrategias probadas que rápidamente convierten a desconocidos en clientes.

Y son consideradas el “santo grial” en las ventas.

Pero, esto ha cambiado.

La forma en que realizar llamadas comerciales ha recibido una importante actualización debido a la regulación de protección de datos de la UE conocida como RGPD, que entró en vigor el pasado mayo de 2018.

En este post te cuento cómo afecta el RGPD a las llamadas comerciales.

Regulación sobre Protección de Datos

El sector de las telecomunicaciones y telemárketing debe, al igual que el resto de sectores, proteger los datos personales que maneja.

Por tanto, está sujeto a las normas que lo regulan y que son:

¿Qué son las llamadas spam?

Spam telefónico son las llamadas a teléfono fijo o móvil con fines comerciales. Se suele realizar sin petición ni autorización previa, además, es característico por la molestia, reiteración e incluso acoso que pueden llegar a causar.

Son muchas las empresas que hacen uso de esta agresiva estrategia comercial para la obtención de nuevos clientes.

Las llamadas de spam son las aquellas realizadas a teléfonos fijo o móvil con fines comerciales sin autorización previa y en reiteradas ocasiones.

El «spam» telefónico está relacionado con empresas de telecomunicación, entidades bancarias, compañías eléctricas o agencias de seguros.

¿Cómo ha cambiado el RGPD las llamadas comerciales?

A la hora de realizar márketing telefónico debes tener en cuenta dos cuestiones:

como realizar llamadas comerciales cumpliendo el reglamento general de proteccion de datos

  • recogida y almacenamiento de los datos y
  • procesamiento de esos datos.

Echemos un vistazo más de cerca a cómo esto cambiará con el RGPD.

Recopilación de datos y consentimiento

El RGPD gira en torno a la obtención correcta de la autorización para recopilar, almacenar y utilizar datos personales.

Los ejemplos más típicos para solicitar permiso son a través de un formulario web incluyendo un enlace a una declaración de privacidad o en un correo electrónico de seguimiento.

Según la RGPD, las personas tienen derecho a estar informadas sobre:

  • datos que recopilan,
  • por qué los recopilan y
  • cómo piensan utilizarlos.

Pero, esto no es todo.

Los particulares también tienen derecho a ser informados sobre:

  • finalidades del tratamiento de sus datos y
  • período durante el cual se almacenarán sus datos personales.

Por lo tanto, si no has obtenido su consentimiento en el momento en que has recogido sus datos personales, debes informarles en un plazo de 30 días a partir de la obtención de los datos de que lo ha hecho y la razón por la que mantienes sus datos personales en tu sistema.

Según la nueva normativa, además de explícito (no solamente tácito, sobreentendido, cómo hasta ahora), el consentimiento tiene que ser:

  • afirmativo,
  • inequívoco,
  • claro y
  • distinguible de otros asuntos.

Y el lenguaje usado por las empresas en las cláusulas de privacidad deber ser “claro y comprensible” para los usuarios.

Derecho de supresión

Si la persona responde a un correo enviado y te pide que elimines sus datos, tienes que cumplir con esa petición y eliminarlos de tu base de datos o CRM. O, como mínimo, mantener la menor cantidad de información posible para asegurar que no se haga ningún contacto en el futuro.

En algunos casos, es posible que se te exija legalmente que almacenes sus datos, incluso si te solicita que los elimines. Si esto ocurre, su responsable de protección de datos tendrá que informar a la persona:

  • que estas obligado a mantener sus datos almacenados y
  • las razones para hacerlo.

Sin embargo, si no recibes respuesta después de hacer un esfuerzo justo y razonable para ponerte en contacto con ellos, puedes asumir que el almacenamiento de sus datos no es un problema. Siempre y cuando tenga un interés legítimo.

Sólo asegúrate de no enviar ningún mensaje de marketing (a menos que hayan dado el consentimiento explícito) y de mantener un registro del consentimiento, con el fin de seguir cumpliendo la RGPD.

Tratamiento de los datos

Una vez que hayas solicitado permiso para almacenar los datos que tienes sobre un posible cliente, el siguiente paso es utilizarlos para ayudarte en tu búsqueda de nuevas ventas.

Sin embargo, hay que tener cuidado, porque el RGPD restringe la manera en que se pueden procesar (o utilizar) estos datos.

Por ejemplo, cuando recopilas una dirección de correo electrónico de un cliente potencial, por lo general se agregan a una variedad de listas de correo electrónico de ventas y marketing, tales como:

  • Si alguien descarga un artículo técnico, más tarde le envías un correo electrónico con una invitación a un webinar.
  • Cuando te solicitan más información sobre tus paquetes de precios, los agregas a tu lista de correo electrónico.
  • En caso de que alguien llame a tu empresa para pedirte una prueba gratuita, le envías una serie de correos electrónicos.
  • Si sigues haciendo esto hoy, te arriesgas a que te multen.

Cuando recopilas datos personales como una dirección de correo electrónico no sólo necesitas informar a la persona que los ha almacenado. También necesitas asegurar tus posibles clientes activamente (‘opt-in’) o elegir unirse a una lista de correo electrónico específica antes de empezar a enviarles mensajes de marketing.

Es decir:

No puedes asumir que tienes permiso para enviar campañas masivas de correo electrónico sólo porque tienes su dirección de correo electrónico.

Una manera de manejar esto es permitir que los potenciales clientes administren sus suscripciones de correo electrónico, utilizando una herramienta de email marketing adecuada.

Gestión de suscripciones

Sin embargo, antes de que puedas empezar a pensar en almacenar y procesar datos personales, primero necesitas encontrarlos.

Para ello debes tener en cuenta lo establecido por el RGPD:

  • Consentimiento inequívoco: No se considerará válido el consentimiento tácito o por omisión. Se requiere una manifestación claramente afirmativa por parte de las personas para el tratamiento de sus datos.
  • Derecho de acceso: Ahora es posible obtener una copia de los datos personales que se estén tratando.
  • Derecho al olvido: Conocido como el «derecho a borrar». Las organizaciones deben cumplir sin demoras injustificadas si el cliente hace una solicitud.

Las empresas necesitarán pensar cómo y dónde se almacenan sus grabaciones de llamadas, asegurando que puedan:

  • identificar,
  • acceder y,
  • si es necesario, eliminar cualquier grabación o registro que incluya la información personal de un cliente.

Por eso mismo es indispensable que las empresas adapten su tecnología de mano de expertos para cumplir el reglamento y no exponerse a multas importantes.

Consultar la lista Robinson

Por último, si vas a realizar llamadas comerciales o campañas de email márketing, debes consultar la lista Robinson.

Esta es una herramienta que utilizan aquellas personas que no desean que sus datos que están en fuentes accesibles al público sean utilizados con fines publicitarios.

La ley de Protección de Datos indica que quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento.

¿Cómo consultarla?

Existen dos modalidades de acceso:

1. Acceso automatizado anual

El coste varía en función de la actividad de tu empresa y de su tamaño:

Anunciante:

  • Microempresa: 1.975 €
  • Pequeña: 2.500 €
  • Mediana: 3.650 €
  • Gran Empresa: 4.950 €

Prestador de servicios: 6.450 €

2. Acceso no automatizado

La entidad solicitante podrá realizar 100 consultas de forma no automatizada e individualizada al servicio sin coste.

Una vez realizadas las 100 consultas podrán solicitar una suscripción anual.

Prohibición de llamadas comerciales desde móviles

El Gobierno de España está desarrollando una ley para prohibir que las compañías de telemárketing puedan usar números de teléfonos móviles para realizar llamadas publicitarias. Es decir, tras esta ley, las molestas llamadas para ofrecerte tarifas de Internet desde teléfonos móviles no se podrán realizar. Y estas compañías tendrán que usar números especiales.

La medida se está llevando a cabo después de que la administración detectase que tanto operadoras de telefonía como aseguradoras están usando masivamente esta técnica para conseguir más descuelgues.

Tras la aprobación y publicación en el Boletín Oficial del Estado de la nueva regulación, las compañías que usan este tipo de prácticas perjudiciales para el sector dispondrán de tres meses para modificar su sistema de trabajo y realizar las llamadas comerciales desde los números de teléfonos que les corresponden.

Los reservados precisamente para este tipo de llamadas con fines publicitarios.

aviso alerta

Realizar llamadas comerciales sin consentimiento, puede ser sancionable

Preguntas frecuentes

¿Por qué debo cumplir la normativa de protección de datos?

Es importante que cumplas los requisitos exigidos por el RGPD a la hora de realizar las campañas comerciales porque así evitarás ser sancionado.

Cada día son más las empresas sancionadas por la AEPD por realizar llamadas comerciales sin contar con el consentimiento de los afectados.

¿A quién debo excluir de las llamadas comerciales?

Como te indicaba anteriormente, no puedes realizar llamadas comerciales a aquellas personas que no te hayan dado su consentimiento.

Tampoco a las personas inscritas en el servicio de Lista Robinson, cuando la información que se trate para la realización de las llamadas coincida en cada uno de sus caracteres alfabéticos, numéricos, espacios y especiales que componen el nombre, apellidos, dirección postal, dirección electrónica y número de teléfono, con la facilitada por los interesados al solicitar su inclusión en el fichero de Lista Robinson, de acuerdo con los siguientes criterios:

  • Campañas llamadas a móviles: Coincidencia con el número facilitado por el interesado.
  • Campañas mediante teléfono fijo: Coincidencia con el número, nombre y apellidos facilitados por el interesado.

¿Por qué debo consultar la lista Robinson?

Es necesario consultar esta lista para la realización del tratamiento de datos ya que debes excluir a los interesados que figuren en el Fichero de Lista Robinson de tus campañas publicitarias.

¿Puedo encargar la realización de la consulta a la lista Robinson a otra entidad?

Sí, cuando no cuenten con los medios o no tengan acceso a los datos para desarrollar las acciones publicitarias. En este caso, dicha entidad actuará como encargada del tratamiento debiendo firmar con ella el correspondiente contrato de terceros.

Modelos

Aquí te dejo los modelos necesario para cumplir la normativa de Protección de Datos en la realización de llamadas comerciales:

Sanciones

¿Sabes qué te puede pasar si no cumples el RGPD?

No es ninguna broma así que atento!

Con el RGPD se disparan los importes de las sanciones para los casos más graves de vulneración de la normativa de tratamiento de datos. En España, por ejemplo, se pasa de multas máximas de 600.000 euros a 20 millones o al 4% de la facturación global anual de las compañías que resulten sancionadas.

Hace unos días la Audiencia Nacional ratificó sendas sanciones de 30.000 euros impuestas por la Agencia Española de Protección de Datos (AEPD) contra las empresas Global Telemarketing Solutions y Crosseling Operadores por pasarse de la raya a la hora de ofrecer por teléfono servicios de la compañía Jazztel a pacíficos ciudadanos que habían solicitado expresamente que se les excluyera de este tipo de llamadas.

Igualmente, la AEPD impuso una multa de 10.000 € a una empresa subcontratada por Cruz Roja por realizar llamadas comerciales a un cliente que figuraba inscrito en la lista Robinson. Resolución AEPD R/00426/2018

Y esto es todo lo que debes hacer si quieres realizar llamadas comerciales legalmente.

Ni más ni menos.

Y si tienes cualquier duda, estaré encantada de ayudarte.

¿Necesitas cumplir el RGPD?