¿Qué diablos es el RGPD? (y cómo asegurarse de que su blog cumpla con los requisitos)

¿Alguna vez has tenido la sensación de que algo está esperando para morderte el trasero?

¿Una perturbación en la fuerza que simplemente no puedes identificar?

¿ Seguro que no es tu aniversario?

¿El recital de piano de tu hijo?

Tal vez sea la factura del cable.

Maldita sea.

No puedes ubicar lo que es, pero algo está ondeando una bandera roja.

Para los blogueros, ese gusano cerebral podría ser el RGPD.

Te molesta como una picazón imposible de rascar.

En cierto modo, eso es bueno: sabes lo suficiente sobre el RGPD como para preocuparte .

Pero en caso de que esté en la categoría de «felizmente inconsciente», veremos de qué se trata el RGPD.

Y por qué absolutamente PUEDE afectarte a ti y a tu blog.

Tabla de contenido

  • RGPD 101
  • Los cinco conceptos básicos de GDPR que absolutamente debe saber
  • Los seis principios básicos del RGPD
  • Advertencia: cuidado con estos tres mitos peligrosos sobre el RGPD
  • Cuatro actividades comunes de blogs que podrían ponerlo en la línea de fuego del RGPD
  • Cómo algunos blogueros pueden eludir la viñeta del RGPD
  • La pregunta de $ 64,000: ¿Está su blog en el alcance?
  • Tres enfoques totalmente legítimos para abordar el RGPD (incluido uno que es súper fácil)
  • Siete sencillos pasos hacia el cumplimiento del RGPD
  • Deja de esconderte debajo de la almohada y adelántate al RGPD
Descargo de responsabilidad: no soy abogado. La información a continuación no es en absoluto un consejo legal. Pero podría ahorrarle un montón de preocupaciones y gastos.

RGPD 101

El RGPD está arrasando en Europa actualmente.

Es el Reglamento general de protección de datos, una nueva ley de privacidad de datos introducida por la Unión Europea, y es un poco revolucionario.

Entra en vigor plenamente el 25 de mayo de 2018.

Sí, esa fecha límite que se avecina podría estar iluminando tu radar.

Afecta a personas de todo el mundo, no solo en Europa. Y algunas personas con visión de futuro han estado trabajando para prepararse durante los últimos uno o dos años.

Bien hecho ellos. Directamente a la parte superior de la clase.

Pero la verdad del asunto es que muchas personas han sido un poco » mañana, mañana» sobre todo el asunto.

Ahora que la cuenta regresiva se puede medir en días, algunas personas están entrando en pánico .

Es como esa tarea escolar que tuviste un año para escribir.

Aquí estás, «T-menos-uno y contando», y estás mirando una página en blanco.

Y eso se debe, en gran parte, al hecho de que el RGPD parece complejo y todavía hay algunas áreas grises.

Todos estamos luchando por interpretar algunos de los detalles de la regulación.

Pero algunas cosas están claras, así que en caso de que GDPR sea completamente nuevo para usted, veamos lo básico.

Los cinco conceptos básicos de GDPR que absolutamente debe saber

  1. Se aplica a cualquier persona que procese «datos personales» : lo más obvio es que se trata de cosas como nombres, direcciones de correo electrónico y otros tipos de «información de identificación personal»;
  2. Crea nuevas responsabilidades significativas : si procesa datos personales, ahora es realmente responsable de su seguridad y la forma en que se utilizan;
  3. Tiene un alcance global : puede ser una ley de la UE, pero puede aplicarse a cualquier persona , independientemente de su ubicación;
  4. No solo se aplica a las empresas tradicionales : los principios se refieren a lo que haces con los datos de otras personas, no a quién eres o por qué lo haces;
  5. Hay multas deslumbrantes por incumplimiento : hasta 20 millones de euros (24 millones de dólares) o el 4 % de los ingresos globales, lo que sea mayor.

Por lo tanto, el alcance del RGPD es sorprendentemente amplio. Se podría aplicar fácilmente a usted.

Otorga a los reguladores de datos poderes para aplicar sanciones financieras sin precedentes.

Y lo que es más importante, se está convirtiendo en un perfil extremadamente alto. El escándalo de Facebook/Cambridge Analytica por sí solo ha elevado el tema de la privacidad de datos al debate general.

Por lo tanto, vale la pena dedicar un poco de tiempo a tratar de comprender los principios clave que el RGPD intenta lograr.

Los seis principios básicos del RGPD

Los principios centrales del RGPD no son nuevos.

Amplían las regulaciones de protección de datos existentes de la Unión Europea, y la mayoría de la gente generalmente podría considerar que caen en la categoría de «bastante buena idea, en realidad» (desde la perspectiva del consumidor, al menos).

Así que vamos a desglosarlos uno por uno.

Principio #1: Legalidad, Equidad y Transparencia


Debe procesar los datos personales de manera lícita , leal y transparente .

“Legalidad” tiene un significado específico bajo el RGPD. Hay seis motivos legítimos y legales para procesar datos personales. Debe cumplir al menos uno de estos seis criterios antes de que su procesamiento de datos sea «lícito».

La primera y más obvia base legal para el procesamiento de datos personales es el consentimiento, es decir, cuando la persona ha aceptado específicamente (generalmente a través de una o más casillas que se pueden marcar) que puede usar sus datos de una manera específica. Más sobre el consentimiento más adelante.

La mayoría de los otros motivos legales serán menos relevantes para los blogueros. Incluyen situaciones en las que es esencial que usted procese datos personales para cumplir un contrato con el consumidor, o si la ley le exige que recopile datos específicos (como la información necesaria para los registros fiscales).

Pero la sexta y última base legal es relevante:

Puede ser legal procesar datos personales sin el consentimiento de la persona si es de su interés legítimo como Controlador hacerlo .

Este es el tema de un acalorado debate, porque parece proporcionar una práctica solución para los controladores. (Más sobre los controladores más adelante, ¡pero suponga por ahora que el controlador es usted!)

Bueno, ciertamente no es eso, pero es un reconocimiento de que la privacidad de los datos no es absoluta.

Debe haber un equilibrio entre el derecho del individuo a la privacidad de los datos y el interés legítimo del controlador en administrar su blog , negocio o lo que sea.

Es más probable que se utilice el “interés legítimo” cuando el consentimiento no es apropiado o factible .

Los ejemplos pueden incluir:

  • Almacenamiento de direcciones IP en los registros del servidor para la detección y prevención de fraudes.
  • Uso de cookies no intrusivas en la privacidad (como Google Analytics).
  • Almacenamiento de datos personales en copias de seguridad para permitir la restauración de un blog después de un problema técnico.

Estos escenarios resaltan que en algunas situaciones (como la prevención del fraude), no se debe permitir que los consumidores eviten el procesamiento. En otros, simplemente sería inviable tratar de obtener el consentimiento por adelantado.

Por lo general, se aplicará cuando el procesamiento de sus datos implique un riesgo o impacto mínimo para la privacidad de la persona, y sea de un tipo que la persona podría razonablemente esperar que usted lleve a cabo.

Dicho esto, podemos tener claro que el “interés legítimo” no es :

  • Carta blanca para hacer lo que te apetezca sin el conocimiento de los consumidores.
  • Una justificación para recopilar datos que usted sabe muy bien que sus consumidores no consentirían.

Esos escenarios no serían lícitos, justos ni transparentes.

Cualquier persona que planee basarse en la base legal del «interés legítimo» deberá familiarizarse con los detalles de la regulación porque existen requisitos específicos, como la necesidad de realizar una evaluación de intereses legítimos.

La “equidad” no se define específicamente en el reglamento, pero en cualquier definición se superpone significativamente con la legalidad y la transparencia.

Toda la orientación de la regulación sugiere que el procesamiento justo implica garantizar que no tenga efectos adversos injustificados en el individuo, y que los datos se utilicen de la manera que el individuo podría esperar razonablemente, dada su relación con ellos .

En resumen, si está siendo abierto y transparente sobre cómo procesa los datos, casi inevitablemente los procesará de manera «justa».

Los ejemplos de procesamiento desleal pueden incluir:

  • Engañar a los consumidores sobre tu verdadera identidad.
  • Intentar ocultar el verdadero propósito de su procesamiento de datos detrás de franjas de letra pequeña o lenguaje legal innecesariamente formal .
  • Tratar de engañar a los consumidores de cualquier manera para que proporcionen sus datos.

La “transparencia” es un tema fundamental y recurrente en todo el reglamento. Se espera que sea notoriamente abierto y honesto sobre los datos que recopila y lo que se propone hacer con ellos.

Más sobre transparencia más adelante.

Principio n.º 2: los datos solo se utilizan para fines específicos y legítimos


Solo debe utilizar los datos personales para los fines específicos que haya declarado.

Estrechamente relacionado con el concepto de transparencia, este principio exige que no recopiles datos para un propósito y luego los uses de una manera diferente.

Tomemos el ejemplo de una oferta de «Regístrese para recibir este informe gratuito».

A primera vista, la persona proporciona su dirección de correo electrónico para que pueda enviarle el informe. Eso es todo.

Luego, no puede agregar su correo electrónico a su lista de correo y enviarles otro material promocional a menos que haya dejado en claro en el momento de la inscripción que eso es lo que pretende hacer .

Principio #3: Limitado a lo que se requiere para lograr los propósitos declarados


Debe recopilar solo la cantidad mínima de datos personales necesarios para lograr su objetivo declarado.

Este es el concepto de minimización de datos.

Si recopila datos personales para permitirle enviar notificaciones de blog por correo electrónico , la información mínima que necesita es una dirección de correo electrónico. «Nombre» probablemente también esté bien (con el fin de personalizar sus correos electrónicos), pero recopilar cualquier otra cosa podría verse como excesivo.

Entonces, si, en el mismo escenario, también recopila el número de teléfono celular, el sexo y la edad, entonces debe tener muy claro por qué esa información es necesaria para permitirle enviar notificaciones de blog.

Principio #4: Preciso y actualizado


Debe tomar todas las medidas razonables para asegurarse de que los datos que recopile sean precisos y se mantengan actualizados.

Los riesgos para la privacidad de los datos de las personas aumentan claramente cuando los datos contienen inexactitudes. Las direcciones de correo electrónico incorrectas son un excelente ejemplo de dónde se pueden divulgar o filtrar otros datos personales sin darse cuenta.

Por lo tanto, está obligado a abordar las inexactitudes de los datos sin demora; los datos incorrectos deben rectificarse o eliminarse.

En la práctica, si alguien se comunica con usted para actualizar su dirección de correo electrónico, debe tomar medidas al respecto sin demoras indebidas.

Pero ser proactivo también es importante; por ejemplo, si recibe rebotes regulares de las direcciones en su lista de correo, entonces esto debería decirle algo. Se recomienda revisar periódicamente su lista y eliminar las direcciones rebotadas.

Principio #5: Tiempo Limitado


Solo debe conservar los datos personales durante el tiempo que sea necesario para lograr el objetivo declarado.

Es fundamental para el concepto de imparcialidad que los datos no se conserven durante más tiempo del necesario para lograr el propósito para el que los recopiló.

La retención de datos también tiene implicaciones para la precisión. Si aún almacena datos de direcciones de clientes que recopiló hace cinco años, es probable que una proporción significativa de esos datos obsoletos ahora sea inexacto.

Principio n.º 6: los datos deben procesarse de forma segura


Debe procesar los datos personales de una manera que garantice la seguridad adecuada.

La seguridad de los datos que posee es claramente fundamental para el objetivo general del RGPD. Usted es responsable de asegurarse de que existen medidas técnicas y organizativas apropiadas para proteger contra el acceso no autorizado, la pérdida, la alteración y la divulgación.

Dicho esto, no se espera que seas Fort Knox.

Sin embargo, se espera que tome medidas que sean proporcionales a la confidencialidad de los datos que recopila y al riesgo para las personas involucradas en caso de pérdida o divulgación de los datos.

Las precauciones básicas incluirían:

  • No almacenar los datos de los consumidores en un dispositivo portátil como un teléfono inteligente (especialmente si usted es del tipo que lo deja regularmente en un taxi los viernes por la noche).
  • Nunca compartir detalles de inicio de sesión del sistema con otros.
  • Proteger con contraseña cualquier archivo de oficina que contenga datos personales.
  • Usar conexiones encriptadas (https) para tu blog (aunque el RGPD no lo exige específicamente, es una buena idea).

Obviamente, esa no es una lista exhaustiva, pero entiendes el punto.

Todos los requisitos específicos contenidos en el RGPD se basan en estos seis principios.

Al tener en cuenta estos principios, nunca debe desviarse demasiado de lo que el RGPD espera de usted, incluso si no es un experto en los detalles de la regulación.

El problema es que también hay una cierta cantidad de información errónea sobre el RGPD.

Advertencia: cuidado con estos tres mitos peligrosos sobre el RGPD

GDPR es nuevo y hay una gran cantidad de especulaciones sobre cómo se aplicará en la práctica.

Así que vamos a tratar con algunos de los mitos emergentes.

Mito n.º 1: no vivo en la UE, así que no me afecta


No se deje engañar. Ese no es el punto.

El reglamento protege a los consumidores dentro de la UE , independientemente del lugar del mundo en el que se encuentre la persona que recopila sus datos.

Cualquiera que inicie un blog y lo ponga a disposición de los consumidores dentro de cualquiera de los Estados miembros de la UE se verá potencialmente afectado.

Existen reglas sutilmente diferentes para los controladores fuera de la UE, pero independientemente de si opera desde Londres, Milán o Nueva York, el RGPD debe estar en su radar.

Como mínimo, deberá tomar una posición informada sobre el tema, y ​​eso significa tener un plan.

Mito n.º 2: soy un bloguero, no una empresa, por lo que no se aplica


Un swing y una señorita.

Si bien existen algunas disposiciones dirigidas específicamente a las organizaciones, la responsabilidad principal se aplica a cualquier persona que se considere un «Controlador de datos».

Un controlador de datos es la persona responsable de «determinar el propósito» del procesamiento.

Y puede ser cualquiera, un individuo o una empresa.

En pocas palabras, si usted es la persona que decide recopilar los datos, o decide qué datos se recopilan y por qué, entonces es un controlador de datos, independientemente de si está operando como una empresa en el sentido normal de la palabra.

blogueros. Microempresas. Sin fines de lucro. Organizaciones benéficas. Aficionados.

Todo potencialmente cubierto.

Explicaré por qué digo «potencialmente» más adelante.

Mito #3: Hay una exención para cualquier persona con menos de 250 empleados


No.

Lo he visto dando muchas vueltas, y se basa en una interpretación muy perezosa de las reglas.

Si procesa datos personales y tiene menos de 250 empleados, es posible que tenga una exención de un requisito de informe administrativo muy específico.

No es en absoluto una exención general.

GDPR puede aplicarse si no tiene empleados en absoluto.

Cuatro actividades comunes de blogs que podrían ponerlo en la línea de fuego del RGPD

Como bloguero, es posible que sienta que no tiene la costumbre de recopilar datos personales de las personas.

A partir de ahí, es un camino muy corto para convencerse de que el RGPD no es asunto suyo.

Pero piénselo de nuevo: hay una serie de actividades de blogs muy comunes que pueden ponerlo en la línea de fuego de GDPR.

#1. Recopilación de direcciones de correo electrónico


Sin duda, este es el escenario más claro en el que se puede aplicar el RGPD a los blogueros.

Seguro como los huevos son los huevos, los nombres y las direcciones de correo electrónico son datos personales .

Si invita a las personas a que le proporcionen esta información, como en una lista de correo o a través de un formulario de contacto en línea, entonces tiene la responsabilidad de esos datos.

Como veremos más adelante, esto por sí solo no garantiza que se aplicará toda la fuerza del RGPD, pero sí significa que usted se ve potencialmente afectado.

#2. Usar WordPress (u otro sistema de gestión de contenido)


No me malinterpreten, soy un gran fan de WordPress.

Uno de sus puntos de venta más importantes es cuánto hace por usted desde el primer momento.

Pero eso puede ser un arma de doble filo: ¿sabrías si WordPress estuviera recopilando/procesando datos personales en segundo plano?

Posiblemente no.

Bueno, puede, y lo hace:

  • Con los comentarios de blog habilitados, WordPress requerirá de forma predeterminada que todos los comentaristas envíen sus nombres y direcciones de correo electrónico antes de poder comentar. Estos son datos personales.
  • WordPress configurará cookies web para cualquier persona que inicie sesión en su sitio o envíe un comentario. El RGPD establece específicamente que las cookies son datos potencialmente personales.
  • Todos los complementos que instala en su sitio de WordPress le brindan funcionalidad adicional (es por eso que los usa), y cada uno de esos complementos tiene el potencial de recopilar datos personales.

#3. Uso de cualquier tipo de seguimiento o creación de perfiles web


¿Usar el píxel de Facebook para realizar un seguimiento de las visitas a la página y las conversiones?

¿Hace un seguimiento de quién abre los correos electrónicos de su campaña MailChimp o AWeber?

¿ Utiliza Google Analytics para comprender el tráfico web ?

Cada uno de estos, en una medida u otra, implica perfilar el comportamiento de individuos identificables , y está potencialmente dentro del ámbito del RGPD.

#4. Uso de un servidor web que registra las direcciones IP de los visitantes


Es una práctica extremadamente común que su servidor web registre, en sus registros del servidor, las direcciones IP de cualquier persona que visite su blog.

Ahora no hay problema con eso, porque en realidad puede ayudar a proteger contra ataques maliciosos y accesos no autorizados.

Pero las direcciones IP son datos personales en lo que respecta al RGPD.

Por lo tanto, si bien es posible que no considere que recopila datos personales de forma activa, es muy probable que, en realidad, lo haga.

Cómo algunos blogueros pueden eludir la viñeta del RGPD

Ya hemos visto que el factor central para determinar si el RGPD se aplica a usted es si procesa o no datos personales. Es lo que el RGPD llama el “alcance material” de la regulación.

Pero esa no es la única consideración.

También debemos tener en cuenta lo que el RGPD llama «ámbito territorial», y es este ámbito territorial el que podría permitir a algunos blogueros eludir la viñeta del RGPD.

El alcance territorial es el lenguaje de la UE para la limitación geográfica del RGPD.

Ya hemos mencionado esto en nuestro primer mito peligroso anterior.

El reglamento protege los intereses de los consumidores dentro de la UE, independientemente de si la persona o empresa que recopila sus datos tiene su sede en la UE o no.

Entonces, la verdadera pregunta no es dónde se encuentra, sino dónde se encuentran sus consumidores previstos .

Un blog con sede en los EE. UU. puede entrar en el ámbito del RGPD si de alguna manera se dirige a los consumidores de la UE .

Pero para que quede claro, si puede argumentar legítimamente que su blog se encuentra fuera del ámbito territorial del RGPD, la regulación no se aplicará a usted, y ninguno de los requisitos, responsabilidades o multas se aplican.

Es comprensible que algunas personas vean esto como una tarjeta libre de GDPR para salir de la cárcel .

Solo ten cuidado…

El RGPD hace una distinción clara entre Controladores de datos (recuerde, probablemente sea usted) que se encuentran en la UE y aquellos que se encuentran fuera de la UE. Todo se reduce a esto:

  • Los Controladores de datos en la UE están dentro del ámbito territorial y se aplica el RGPD.
  • Los Controladores de datos fuera de la UE están sujetos a las reglas de GDPR si «ofrecen bienes y servicios» a personas dentro de la UE.

Esta distinción será crucial para muchos bloggers.

Introduce el concepto de su público objetivo previsto .

Si su blog está realmente dirigido a una audiencia fuera de la UE y, en realidad, no procesa los datos de los consumidores de la UE, entonces tiene una exención potencial de la totalidad del RGPD.

Pero es importante entender que esta es un área gris.

La redacción actual del reglamento se refiere a si “el Controlador prevé ofrecer bienes y servicios a interesados ​​en la Unión”.

Si escribes en un blog sobre el cuidado de niños en San Francisco, entonces diría que estás en un terreno bastante sólido. No tiene ninguna relevancia obvia para los consumidores de la UE, y parecería justo argumentar que usted no “prevé ofrecerles un servicio”.

Por otro lado, si escribe en un blog sobre un tema que no está limitado por la ubicación (como las nuevas funciones geniales del iPhone X), es posible que ese argumento no funcione. Su contenido es tan relevante para los consumidores de la UE como para cualquier otra persona, y probablemente no tenga la intención real de limitar su número de lectores.

Así que va a depender mucho de la naturaleza de tu blog.

Factores a tener en cuenta:

  • Si bien no existe una definición de lo que constituye un «servicio», es muy probable que los blogs cuenten como uno (el regulador de datos del Reino Unido nos ha dado a entender claramente que los blogs son claramente un «servicio» de información).
  • Es irrelevante si sus consumidores le pagan o no por su servicio;
  • El hecho de que tenga un blog al que se puede acceder desde la UE no significa necesariamente que tenga la intención de ofrecer sus servicios en la Unión.
  • Algunos factores específicos implicarán fuertemente que tiene la intención de ofrecer sus servicios en la UE, como ofrecer pagos en una moneda europea, tener nombres de dominio localizados (como .eu o .co.uk) u ofrecer opciones de números de teléfono locales.

Es importante destacar que, si en realidad SÍ procesa los datos personales de los consumidores de la UE (digamos, teniendo personas con direcciones de correo electrónico .co.uk en su lista de correo electrónico), entonces es difícil argumentar que no prevé ofrecerles un servicio.

Porque ya lo estás haciendo.

La pregunta de $ 64,000: ¿Está su blog en el alcance?

Llegar a una conclusión sobre si tu blog está dentro del alcance del RGPD es algo que solo tú puedes hacer.

Dependerá de la naturaleza exacta de su blog, los datos que capture y su público objetivo.

Y hay áreas que no están perfectamente definidas cuando las aplicas a los blogs.

Solo tenga en cuenta que es parte de la naturaleza humana tratar de calzar su propio blog en una de las excepciones limitadas a las reglas.

Si ofrece un servicio a consumidores en la UE y, al hacerlo, procesa información que califica como «datos personales», entonces, al pie de la letra, se aplicará el RGPD.

Si tiene alguna duda, lo mejor es tener un plan para abordarla.

Tres enfoques totalmente legítimos para abordar el RGPD (incluido uno que es súper fácil)

Supongamos que el RGPD se aplica a ti y a tu blog.

¿Ahora que?

Me sorprende que la gente va a tomar uno de los tres enfoques que se extienden más allá de simplemente pretender que no está sucediendo.

Enfoque n.º 1: no hacer nada (también conocido como «esperar y ver»)


Permítanme ser claro aquí: «No hacer nada» no es lo mismo que «ignorar».

Ignorarlo sería malo. Tiene que estar en tu radar.

Pero dependiendo de su enfoque del riesgo, bien podría elegir el método de «esperar y ver».

El cumplimiento del RGPD desde el primer día sería increíble, pero pragmáticamente, puede llevar tiempo, esfuerzo y posiblemente gastos.

Y, de manera realista, es poco probable que llame la atención de los reguladores de datos a menos que realmente experimente una violación de datos o que alguien decida presentar una queja en su contra.

Entonces, ¿por qué no esperar a que se asiente el polvo y ver qué hacen los demás?

Ventajas:

  • Te compras algo de tiempo.
  • Siempre que mantenga la atención en el suelo, podrá ver cómo los reguladores abordan la aplicación de las reglas en la práctica.
  • Los detalles de cómo cumplir con las normas solo pueden aclararse con el tiempo, por lo que posiblemente pueda evitar meterse en una variedad de madrigueras de conejo mientras tanto.

Contras:

  • Esta es sin duda una opción de mayor riesgo.
  • Técnicamente, no cumplirá el Día 1 (aunque junto con gran parte del resto del mundo).
  • Técnicamente, podría recibir una multa en caso de una violación de datos, como que su sitio de WordPress sea pirateado.
  • Dependiendo de la visibilidad de su marca, su reputación está en riesgo si simplemente no está preparado para cosas como las solicitudes de acceso a los datos de las personas, y eso podría llamar la atención de los reguladores.
  • Es probable que los reguladores tengan poca simpatía por las personas que aparentemente no han hecho ningún esfuerzo por cumplir.

Es difícil para mí defender de todo corazón el enfoque de «esperar y ver», porque se siente reactivo y tal vez soy un poco reacio al riesgo.

Pero podría decirse que hay un lugar para ello si comprende y acepta los riesgos.

Dicho esto, algunos de los riesgos pueden mitigarse, lo que me lleva al segundo enfoque.

Enfoque n.° 2: Muestre disposición implementando algunos beneficios rápidos


Si bien el cumplimiento total de GDPR va a ser complejo para algunos, es probable que haya algunas frutas al alcance de la mano.

No solo lo iniciará en el camino hacia el cumplimiento total, sino que también demostrará un compromiso con la privacidad de los datos, y es posible que se sorprenda de todo lo que ya está haciendo.

Si no hace nada más que revisar sus procesos de consentimiento y publicar una política de privacidad en su blog, todavía estará dando un paso significativo hacia el cumplimiento.

(Consulte mis Siete sencillos pasos hacia el cumplimiento de GDPR a continuación, que sugieren cómo podrían ser algunos de estos enfoques).

Ventajas:

  • Significativamente menor riesgo que no hacer nada.
  • Relativamente bajo esfuerzo, tiempo y costo.
  • Simplemente revisar sus riesgos de privacidad le dará un mayor control.
  • Promueve una mentalidad de privacidad de datos que informará sus decisiones futuras.
  • En la práctica, es aún menos probable que atraiga la atención de los reguladores.

Contras:

  • Es poco probable que las victorias rápidas por sí solas hagan que su blog sea totalmente compatible.
  • Deberá dedicar algo de tiempo y esfuerzo para evaluar sus riesgos y responsabilidades.

Mi conjetura es que «mostrar voluntad» será donde muchos blogueros y pequeñas empresas estarán cuando el RGPD entre en vigor.

Enfoque n.º 3: recorrer las nueve yardas completas y apuntar al cumplimiento completo de GDPR


En un mundo ideal, el cumplimiento completo de GDPR desde el día 1 es claramente el lugar para estar.

Minimiza el riesgo y, para aquellos que saben qué buscar, demuestra su credibilidad y profesionalismo.

Para blogs simples y pequeñas empresas en línea, el cumplimiento total podría ser perfectamente alcanzable, porque la simplicidad es su amiga.

Ventajas:

  • Todos los riesgos de privacidad se gestionarán de cerca.
  • No le pillarán desprevenido en el caso de una consulta de datos personales o, peor aún, de una reclamación.
  • En igualdad de condiciones, puedes dormir por la noche.

Contras:

  • Requerirá tiempo y esfuerzo para comprender todos los requisitos del RGPD.
  • Puede implicar un costo para poner en línea los procesos y la tecnología.

Siete sencillos pasos hacia el cumplimiento del RGPD

La regulación GDPR real en sí misma es un documento horriblemente impenetrable.

Tiene más de 250 páginas, con 99 disposiciones principales («Artículos») y 173 «considerandos» complementarios.

Y se preguntan por qué la gente no lo lee.

A menos que sea abogado, es probable que termine sintiéndose un poco abrumado.

Pero si puede dominar los conceptos y los seis principios básicos, verá que hay una serie de cosas discretas y tangibles que puede hacer para lograr el cumplimiento.

Y algunos de ellos son bastante libres de dolor.

#1. Hacer un Inventario de Datos Personales


Dedique 30 minutos a generar ideas y documentar los tipos de datos personales que recopila.

Entonces comenzará a entender dónde están sus responsabilidades reales.

Asegúrate de considerar:

  • La información que realmente solicita a las personas , en particular nombres y correos electrónicos a través de formularios de contacto y suscripciones a blogs.
  • La información que pueden recopilar sus sistemas: si usa Google Analytics o el remarketing de Facebook, tendrá que pensar sobre el hecho de que estas aplicaciones usan cookies. Si usa WordPress u otro CMS, vale la pena investigar si está configurando cookies que no conoce.

Solo cuando haya identificado cómo recopila datos, puede comenzar a abordar si necesita tomar más medidas.

#2. Publicar una política de privacidad compatible con GDPR


Publicar una política de privacidad es lo más tangible que puede hacer para demostrar su compromiso con la privacidad de los datos.

Es tu oportunidad de:

  • Describa qué tipos de datos recopila y específicamente cómo pretende usarlos, incluido con quién se pueden compartir esos datos.
  • Detalle qué tipos de cookies se utilizan en su blog.
  • Describa qué pasos toma para asegurarse de que los datos estén seguros.
  • Resalte exactamente a qué dan su consentimiento las personas, cómo dan su consentimiento y, lo que es más importante, cómo pueden retirar su consentimiento en el futuro.
  • Explique los derechos que tienen las personas sobre sus datos (el RGPD otorga a las personas una serie de nuevos derechos, incluidos los derechos de acceso y los datos y el «derecho al olvido»).

Si ya tiene una política de privacidad, es posible que ya tenga mucho de esto cubierto. Pero es poco probable que su política cumpla con el RGPD sin algún tipo de enmienda. Por lo menos, deberá agregar el rango de derechos de acceso a los datos que tienen los consumidores.

Y solo publicar su política de privacidad no es suficiente.

Tienes que apegarte a eso.

Y asegúrese de que cualquier otra persona que trabaje en su nombre también lo cumpla.

Su protección GDPR es tan fuerte como su eslabón más débil.

No dude en consultar mi propia política de privacidad como guía de lo que debe incluirse. Encontrará otros excelentes ejemplos en la web, pero estoy seguro de que el mío está firmemente en el camino correcto.

Ese descargo de responsabilidad nuevamente: no soy abogado, y esto no es un consejo legal. (Y, por favor, no se limite a copiar mi política: no es cortés y su política debe reflejar lo que usted hace, ¡no lo que yo hago!)

#3. Sea muy claro sobre el consentimiento


Muchas personas que hablan sobre GDPR parecen pensar que el consentimiento es la panacea para todos los problemas de GDPR.

No es.

El consentimiento es solo uno de los seis motivos legales para recopilar datos personales según el RGPD, y no siempre será el más adecuado en el que confiar.

Dicho esto, ES importante.

Cuando los consumidores ofrecen información personal de forma voluntaria (como formularios de contacto en línea y suscripciones a blogs ), debe solicitar su consentimiento específico si no existe otro fundamento legal para procesar esos datos .

Por lo general, esto significará tener una o más casillas de «consentimiento» que se puedan marcar en todos los formularios de registro.

Cosas importantes a considerar:

  • Las personas deben poder saber a qué están dando su consentimiento; las declaraciones vagas y generalizadas sobre lo que pretende hacer con los datos no serán suficientes. (¡Los días de «recopilamos datos para mejorar su experiencia» se han ido!).
  • Su política de privacidad es el lugar para esta información, y sus lectores deben tener la oportunidad de leer la política antes de que se les solicite su consentimiento .
  • El consentimiento debe darse como una «acción afirmativa», por lo que no es aceptable utilizar una casilla de consentimiento marcada previamente. Cualquier casilla de verificación de consentimiento debe estar desmarcada de forma predeterminada (algunos proveedores de correo electrónico como MailChimp lo facilitan con las funciones integradas de GDPR).
  • Solo debe usar la información obtenida a través del consentimiento por las razones que dio cuando lo dio.
  • Siempre debe aprovechar las opciones de «doble suscripción» que se encuentran dentro de las herramientas de administración de campañas como MailChimp. La suscripción doble requiere que la persona confirme su solicitud inicial antes de que sus datos se agreguen a su lista de correo. Por lo general, también le brindará un medio para demostrar cuándo se otorgó el consentimiento.

#4. Deje de recopilar datos que no necesita


La minimización de datos es el camino a seguir.

¿Realmente necesita el número de teléfono celular de alguien para enviarles actualizaciones de blog?

Probablemente no.

Cuantos más datos recopile, de más datos será responsable.

Si no puede justificar por qué está solicitando un dato en particular, no lo solicite.

Y si ya tiene datos que no necesita (o no puede justificar), ahora es el momento de deshacerse de ellos. (¡Con seguridad, por supuesto!)

#5. Asegúrese de que su blog sea súper seguro


Uno de los objetivos principales del RGPD es mantener seguros los datos personales.

Puede influir directamente en esto asegurándose de tomar precauciones de seguridad básicas y de sentido común, como:

  • Nunca comparta las credenciales de inicio de sesión de su blog con nadie más.
  • Siempre usando contraseñas seguras.
  • Eliminación de la cuenta de usuario «administrador» predeterminada en los blogs de WordPress.
  • Usar un complemento de seguridad confiable para evitar el acceso no autorizado.
  • Proteger físicamente los datos almacenados en dispositivos de almacenamiento extraíbles, como memorias USB y discos duros externos.

Todas estas cosas forman la base de la sección «cómo protegemos sus datos» de una política de privacidad.

#6. Utilice un proveedor de alojamiento web de buena reputación


Lo más probable es que esté utilizando algún tipo de alojamiento web de terceros para su blog, ya sea alojamiento compartido o tal vez VPS.

Al proporcionar los servidores en los que se ejecuta su blog, esa empresa de alojamiento de terceros se convierte en un «Procesador de datos» en términos de GDPR, porque están procesando datos en su nombre.

De hecho, les está subcontratando las actividades técnicas de hospedaje.

Como resultado, tienen acceso a cualquier dato personal almacenado en su blog y, por lo tanto, son bastante capaces de ser el eslabón débil de la cadena.

Un servidor web de buena reputación estará encantado de hablar con usted sobre los procesos de seguridad que tienen implementados, sus acreditaciones de seguridad, etc.

Los mejores ya tienen condiciones compatibles con GDPR dentro de sus términos de servicio estándar, o le ofrecerán un acuerdo de procesamiento de datos personalizado a pedido.

Esto es importante porque el RGPD espera que tenga un acuerdo por escrito con cualquier persona que actúe como Procesador de datos en su nombre, especialmente si se trata de un procesamiento que se lleva a cabo fuera de la UE.

Así que elija sabiamente su proveedor de alojamiento web .

Y esté preparado para encontrar un proveedor diferente si no obtiene las respuestas que necesita.

#7. Verifique su configuración de Google Analytics


De acuerdo, esto es un poco específico, pero podría ser la diferencia entre el cumplimiento y el incumplimiento para algunos blogs simples.

Google Analytics utiliza cookies para rastrear cuando la gente visita tu blog . Permiten que GA distinga a un visitante de otro.

Pero, cuando se configuran correctamente, es probable que las cookies de GA se consideren «no intrusivas en la privacidad», lo que significa que no necesita obtener un consentimiento específico previo para usarlas (lo que, créanme, sería un campo técnico minado).

Sin embargo, para que se aplique esta exclusión, debe tener cuidado:

  • Es importante que no haya implementado la funcionalidad de identificación de usuario (opcional) dentro de GA. La identificación de usuario le permite identificar a una persona en particular incluso si ve su blog desde diferentes dispositivos. Debe saber si está utilizando esta funcionalidad, ya que no está habilitada de forma predeterminada y habría tenido que implementarla manualmente.
  • Debe aprovechar la función «anonimizar IP» que proporciona GA, que tiene el efecto de ocultar parte de las direcciones IP de los visitantes cuando los datos se almacenan en Google. Tenga en cuenta que esto está DESACTIVADO de forma predeterminada, pero puede activarse agregando un parámetro simple a su código de seguimiento de GA (el código exacto depende de la versión del código de Google Analytics que esté utilizando: analytics.js o gtag.js ). Si está utilizando un complemento para análisis, puede encontrar esta opción en la configuración del complemento.
  • Debe asegurarse de no incluir nunca (intencionadamente o sin darse cuenta) datos personales en las URL de las páginas que se envían a GA. Esto no solo es malo para el RGPD, sino que también es un incumplimiento de los Términos de servicio de Google.

Para obtener un práctico recordatorio visual de los siete pasos, consulte la siguiente imagen:

Siete sencillos pasos hacia el cumplimiento del RGPD

Incruste esta infografía en su sitio

 

Deja de esconderte debajo de la almohada y adelántate al RGPD

Te guste o no, el RGPD podría afectarte.

Incluso si no estás en la UE.

Si bien es muy poco probable que los reguladores comiencen a imponer grandes multas el día 1, los blogueros inteligentes verán esto como una oportunidad para que sus procesos de datos estén bien definidos.

Póngase al frente y tendrá una comprensión mejor y más profunda del valor de los datos que posee y la responsabilidad (y responsabilidad) que tiene por esa información.

Y, francamente, incluso si el RGPD no se aplica a usted, es una fuerte indicación de hacia dónde se dirige la privacidad de los datos, entonces, ¿por qué no adoptar los principios de todos modos?

Puede parecer un millón de millas lejos de por qué viertes tu corazón y alma en los blogs. Tienes un blog para informar, inspirar, compartir tu pasión .

Pero también eres responsable ante tus fieles seguidores por la información que te confían.

Así que no pierdas el sueño por eso. Adelántate.

Porque cuando lo hagas, tu blog será más fuerte que nunca.

Paul Long es un diseñador web para pequeñas empresas , entusiasta de WordPress y fanático de los datos confeso que reside en el Reino Unido. Actualmente pasa sus días ayudando a la gente a transitar la delgada línea entre la negación y el colapso de GDPR. Para obtener más orientación procesable, consulte su Plan de acción de GDPR gratuito para pequeñas empresas .
Cuota
Pío
Clavo
Cuota
Correo electrónico