* Originally in ESP.CONSUMIDOR
* Crossposted in ESP.INTERNET
�Hola All!
Creo que os puede interesar (a los que est�is bajo la jurisdicci�n de la UE) esta entrada[1] en la que se referencia a la entrada en vigor (este pr�ximo a�o) de la nueva ley de protecci�n de datos en webs y derivados.
Es un poco largo, pero compensa al ser ameno. No obstante, me afecta en algunos
puntos y tendr� que corregir algunas cosillas. :-/
*Nueva Ley de Protecci�n de Datos: �Est� tu Web bien preparada para ella?*
By Marina Brocca
23 Octubre, 2016
�Hay una nueva ley de protecci�n de datos? S�, as� es. Si como en mi caso te mueves en el mundo digital deber�s ponerte al tanto con la nueva ley de protecci�n de datos.
Los temas legales en los blogs o webs son esos grandes desconocidos para los bloggers, que por lo general nos centramos m�s en la generaci�n de contenidos, el SEO y otros aspectos de nuestros sites.
Sin embargo, la importancia de tener unos textos legales completamente actualizados a la normativa cobra m�s importancia si cabe con estos nuevos cambios legales.
�C�mo blogger qu� he de saber de esta nueva ley de protecci�n de datos?
Debemos tener en cuenta que en general se trata de una normativa que ampl�a la anterior y que afecta principalmente a aspectos como nuevas responsabilidades y
medidas a implementar de obligado cumplimiento legal.
Por supuesto que para esto necesitamos a un profesional del sector, por ello hoy contamos en este 73� post invitado con una especialista en la materia como es Marina Brocca.
Se trata de un contenido complejo y de mucho valor, pero que seguro que con la gu�a que ha escrito Marina te resulta mucho m�s f�cil de comprender.
�Va a sobrevivir tu web a la nueva ley de protecci�n de datos?
Seguro te preguntar�s qu� hace una chica como yo, especializada en ley de protecci�n de datos, en un lugar como este.
A lo que respondo: �Buena pregunta!
El motivo de estar hoy aqu� no es otro que el de explicar la que se te viene encima si tienes un blog o una web en materia de ley de protecci�n de datos, porque no es moco de pavo. Y el que avisa no es traidor.
Memoriza esta fecha: 25 de mayo del 2018.
Es el plazo que tienes para tu reconversi�n digital legal. Para esta fecha ya tienes que haber realizado la transici�n. Por lo tanto, no lo dejes para �ltimo
momento y empieza cuanto antes.
Esta fecha marcar� un antes y un despu�s en la manera de gestionar la informaci�n de los dem�s, y por eso deber�as leer este post y memorizarlo (a ser posible), porque va a determinar en gran medida el futuro de muchos profesionales que vivimos de nuestra web y de nuestra audiencia.
Ya s� que los temas legales no son los que m�s te emocionan, pero en este caso tu supervivencia digital est� ligada a lo que he venido a contarte, as� que no te muevas de la silla.
�Otra nueva Ley de protecci�n de datos?
B�sicamente s�, pero mucho m�s exigente que la actual LOPD (Ley Org�nica de Protecci�n de datos), especialmente en materia de entornos digitales.
Estamos hablando del nuevo reglamento europeo de protecci�n de datos que se aprob� en mayo de 2016 y que acabar� con el batiburrillo de regulaciones en materia de protecci�n de datos de cada pa�s miembro de la Uni�n Europea.
Es l�gico que, si ya no tenemos fronteras y tenemos una moneda �nica, tambi�n tengamos una regulaci�n �nica en materia de protecci�n de datos que determine exigencias comunes que todos los europeos debemos acatar.
El nuevo reglamento europeo se impondr� sobre las regulaciones legales de cada pa�s y har� que te tomes en serio sus exigencias.
Ten en cuenta que la actual ley de protecci�n de datos se aprob� en 1999, y por
lo tanto no estaba preparada de ninguna manera para soportar la revoluci�n digital que hemos experimentado estos �ltimos a�os.
Ya hac�a falta una armonizaci�n legal que permitiera un comercio digital integrado y seguro para que todos los que operamos en entornos digitales contemos con un marco legal �nico.
Y esto, por supuesto, nos obliga a una transici�n.
�Por qu� te deber�a importar una nueva ley de protecci�n de datos?
Sin duda esta es la pregunta del mill�n, porque si al igual que muchos te has estado haciendo el sueco hasta ahora con la actual Ley de protecci�n de datos de �mbito estatal, es dif�cil imaginar que ahora vayas a interesante por otra regulaci�n europea. �Cierto?
A este punto quer�a llegar justamente.
C�mo dije al inicio de este post, la primera raz�n por la que deber�a importarte es por tu propia supervivencia digital. Y porque te juegas el tipo.
Perm�teme que, antes que exponga el resto de motivos por el que debes aplicarte
en esta nueva regulaci�n, te ponga en antecedentes para que puedas entender a d�nde quiero llegar.
El anarquismo bloggero y la ley de protecci�n de datos
A la mayor�a de los profesionales que operan en entornos digitales la ley de protecci�n de datos les importaba tanto como a Kiko Rivera el �lgebra.
Somos bastante indolentes con los aspectos legales de nuestra web, en gran parte porque nuestros usuarios tambi�n lo son...o lo eran.
Porque...
�Qui�n es el valiente que se pone a leer una pol�tica de privacidad?
Lo cierto es que cont�bamos con una regulaci�n que no supo ni explicarse, ni venderse y ni controlarse adecuadamente.
Al mismo tiempo, tuvo un fuerte desfase respecto al cambio de paradigma que han
supuesto los entornos digitales en la econom�a de mercado.
Muchos profesionales se lanzaron al encuentro de su parcela digital sin tener presente ninguna regulaci�n, solo importaba estar presente y conseguir el mayor
n�mero de usuarios posibles.
T�, como millones de personas m�s, empezaste a captar registros en una caza masiva de datos personales con la firme y peligrosa convicci�n de que esos datos te pertenec�an a ti (en tanto recolector) y no al usuario en s�.
Y aqu� comienza el descalabro del todo vale, los abusos de confianza a los usuarios y los desmadres con el tratamiento de informaci�n personal.
He escrito hasta la saciedad sobre la diferencia entre ser un profesional y ser
un top manta digital , una diferencia que no estaba muy presente en nuestro mundillo blogger pero que ser� muy evidente en cuanto el nuevo reglamento sea de obligado cumplimiento en la Uni�n Europea.
La era del top manta digital llega a su fin con el nuevo reglamento europeo, o al menos ese es su principal objetivo. Y es por eso que debes empezar a cambiar
el chip inmediatamente.
Razones para una conversi�n digital hacia la legalidad
Hasta ahora hab�as podido operar sin que la Ley de protecci�n de datos te quitara el sue�o.
Si bien tanto la LSSI como la LOPD eran regulaciones obligatorias en todas las p�ginas web, pocos se preocuparon de adecuar convenientemente sus espacios digitales para cumplir con el mandato legal.
Era mucho m�s importante coleccionar suscripciones que respetar y garantizar sus derechos.
El nuevo reglamento de protecci�n de datos propone un cambio de paradigma importante respecto al usuario porque impone una maduraci�n digital alineada con el usuario, y no con el negocio.
Razones para una conversi�n digital hacia la legalidad
Este es el cambio radical que supone esta nueva regulaci�n en materia de protecci�n de datos.
Hasta ahora, tanto t� como el resto de operadores digitales instrumentaban los datos personales de otros con la �nica finalidad de rentabilizarlos, de manera despreocupada y mercantilista.
Tanto es as�, que se compraban y vend�an leads, se compart�an y se utilizaban sin contar con el permiso de los usuarios, entre muchas otras pr�cticas que estaban al l�mite de la legalidad al no preverlas el marco legal.
Pues ahora ya lo est�n.
Con esta nueva ley de protecci�n de datos el foco legal se desplaza al usuario,
a quien se le confiere much�simo m�s control y poder sobre su propia informaci�n personal.
Eso se traduce en nuevas exigencias para todos los que gestionamos datos personales en entornos digitales.
Por lo tanto, si quieres seguir creciendo y consolidar tu estrategia digital, debes prestar mucha atenci�n a los cambios que tienes que poner en pr�ctica antes de que te pille el toro.
Recuerda que este nuevo reglamento refuerza los derechos de las personas que se
relacionan con tu web o blog y las obligaciones de quienes tratan o determinan el tratamiento de los datos personales de otros.
Entre los derechos que se ser�n reforzados se encuentran los siguientes:
La necesidad de obtener un consentimiento expreso de los usuarios o clientes para poder gestionar sus datos, con nuevos mecanismos para obtenerlo y
acreditarlo.
El derecho a que le ofrezcas a usuarios y clientes informaci�n completa sobre el uso de su propia informaci�n personal.
Deber�s concretar y especificar con mucho m�s rigor todo lo que incluya la informaci�n personal de las personas de quienes les requieras sus datos (en una
suscripci�n, comentario, registro, etc)
Garantizar un acceso f�cil de todos los que te aportan sus datos sus datos personales a la informaci�n que les concierne.
El derecho al olvido y al de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles.
El derecho a la portabilidad de los datos de un prestador de servicios a otro.
Principios b�sicos del nuevo reglamento de protecci�n de datos
Para que comprendas esta transici�n digital legal, debes conocer los principios
que la regulan:
? Principio de licitud, lealtad y transparencia
Los datos ser�n recogidos de manera l�cita, leal y transparente.
Por tanto, toda informaci�n relativa al tratamiento de estos datos debe ser accesible y f�cil de entender. Los fines espec�ficos del tratamiento de los datos personales deben ser expl�citos y leg�timos, y deben determinarse en el momento de su recogida.
? Principio de limitaci�n de la finalidad
Los datos ser�n recogidos con fines determinados. Esto significa que si recoges
datos con una finalidad determinada, no puedes utilizar posteriormente los datos con una finalidad diferente.
? Principio de minimizaci�n de datos
Se trata de que recojas los datos estrictamente necesarios en relaci�n con los fines para los que son tratados. Y eso significa los m�nimos posibles.
? Principio de limitaci�n del plazo de conservaci�n
Los datos ser�n mantenidos durante no m�s tiempo del necesario para los fines del tratamiento, algo que te obligar� a limpiar tus bases de datos peri�dicamente.
? Principio de integridad y confidencialidad
Los datos ser�n tratados de tal manera que se garantice una seguridad adecuada de los datos personales, algo que ya exige la actual Ley de protecci�n de datos.
? Principio de responsabilidad proactiva
El responsable del tratamiento ser� tambi�n responsable del cumplimiento de lo dispuesto en el Reglamento. Sobre esto hablar� con mayor detalle luego.
Normas que tienes que adoptar para la supervivencia de tu web de cara al >nuevo reglamento
S� que hasta aqu� has sido muy paciente, as� que es hora de ir al grano y explicar qu� cambios tienes que asumir para acoplarte a la transformaci�n digital legal que se avecina.
El consentimiento en el punto de mira
Este es un punto clave si tienes un blog o una web, y el que m�s trabajo de ajuste va a sufrir.
El nuevo reglamento exige que todo acto de requerimiento de datos personales tenga que ir precedido por un requerimiento de consentimiento expreso.
Este consentimiento debe tener 3 caracter�sticas fundamentales para que sea legal:
Debe ser expreso: no vale el consentimiento t�cito.
Debe ser espec�fico: ligado a una finalidad concreta y no gen�rico.
Debe ser verificable: debes poder acreditar que lo has obtenido.
Debes desterrar los formularios de suscripci�n, contacto, registro etc., que no
incluyan mecanismos informativos claros y no requieran el consentimiento de los
usuarios.
Debes olvidarte, por lo tanto, de presuponer el consentimiento del usuario por inacci�n u omisi�n porque eso ya no ser� v�lido.
El silencio, las casillas pre marcadas o la inacci�n del usuario al requerir datos personales no ser�n legales de cara al nuevo reglamento de protecci�n de datos.
Y aqu� la cuesti�n m�s complicada y que te afecta directamente: no basta solo con modificar todos los formularios de contacto y a�adirles un check box, debes
convertir todos los consentimientos t�citos que hayas obtenido hasta ahora y convertirlos en expl�citos si quieres seguir trabajando con ellos.
Este es sin duda el punto m�s doloroso y cr�tico para todos los que tenemos una
lista de suscriptores, porque si no te aseguras de reconvertir esa lista y conseguir un consentimiento expreso, cualquiera de ellos puede convertirse en un potencial peligro como se le ocurra denunciarte.
Por otra parte, si tienes una inspecci�n, deber�s poder acreditar todos los consentimientos expresos de la gente cuya informaci�n personal administras.
�C�mo puedes resolverlo t�cnicamente en tu web?
En los nuevos registros no ser� muy complicado realizar el ajuste.
Los pasos ser�an los siguientes:
Paso 1 => Lo primero ser� revisar si los formularios de tu web o blog permiten obtener el consentimiento de forma adecuada comprobando que este consentimiento
sea expl�cito, espec�fico y verificable.
�Tienes un check box en cada uno de tus formularios con un enlace a tu pol�tica
de privacidad?
Yo recomiendo, adem�s del enlace a la pol�tica de privacidad, insertar una cl�usula legal visible debajo de cada formulario que exponga los puntos b�sicos
y que est� sujeta a aceptaci�n por parte del usuario antes de enviar sus datos.
Esto te va a permitir acreditarlo debidamente con posterioridad.
Paso 2 => Deber�s esmerarte en redactar y reforzar todas tus cl�usulas informativas y tener mayor precisi�n al redactarlas, atendiendo a todos los puntos que el reglamento te exige informar (ver siguiente punto).
Paso 3 => Deber�s recordar que el consentimiento ha de ser revocable en cualquier momento.
Por tanto, deber�s facilitar un mecanismo para que los usuarios puedan perderte
de vista f�cilmente.
Eso es sencillo en el caso de suscriptores, pero a los clientes deber�s garantizarles la misma facilidad.
Paso 4 => Si utilizas datos personales para marketing directo ser� necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento.
Y si realizas elaboraci�n de perfiles es mejor que te asegures un consentimiento espec�fico para esta finalidad concreta (como explico en este post).
�C�mo regularizar los registros antiguos?
La �nica manera que se me ocurre es enviar un bolet�n en donde les invites a confirmar su suscripci�n y otorgarte un consentimiento expreso.
Para eso, deber�s conducirlos hacia tu nuevo formulario de suscripci�n y pedirles que marquen la casilla de consentimiento siguiendo las recomendaciones
anteriores.
Es evidente que vas a perder a muchos suscriptores por el camino, pero sin duda
se quedar�n los que realmente quieran seguir a tu lado. Del resto tendr�s que deshacerte, ya que van a suponer un gran riesgo para tu negocio.
Antes de que empieces a odiarme y clavar alfileres en mi foto debes saber que esta ley no la hice yo y que no se mata al mensajero. Yo s�lo te informo la mejor forma de sobrevivir de cara a la nueva ley de protecci�n de datos europea.
La transparencia informativa
Ya no valen las generalidades, las medias verdades, los copia y pega de textos legales de otros.
La clave es avanzar hacia un modelo m�s amable y ameno que invite al usuario a leer los t�rminos y condiciones legales de una web.
Por eso he de insistir en la creaci�n de pol�ticas de privacidad atractivas que
motiven al usuario a su lectura en lugar de enfrentarlo a textos sopor�feros en
indescifrables.
Yo lo llamo Pol�ticas friendly.
Las pol�ticas friendy en el nuevo marco digital
Las pol�ticas friendy son accesibles, son cercanas, son claras y f�ciles de leer. Deben invitar al usuario a leerlas en lugar de animarlo a salir corriendo.
�Crees que esto no es posible?
Que se lo pregunten, sino, a Rub�n Alonso: juntos trabajamos para que su pol�tica de privacidad sea toda una declaraci�n de principios y un alarde de transparencia.
Si sabes c�mo escribir un post para que tus lectores te lean y sean atractivos,
con tu pol�tica de privacidad debes hacer lo mismo.
Ya s� que una cosa es decirlo y que otra bien distinta es llevarlo a la pr�ctica.
Lo cierto es que tienes que empezar a revisar tus textos legales y tus cl�usulas informativas. Todas deben ser personales y ajustadas a la realidad de
tu web (no a la del vecino)
Tambi�n deber�s ofrecer mecanismos informativos suficientes para que toda informaci�n y comunicaci�n relativa al tratamiento de datos personales sea f�cilmente accesible y f�cil de entender y, especialmente, que no se diluya en palabrer�a t�cnica.
Dicho esto, est� claro que no habr� lugar para las webs o blog que operen encapuchadas, ocultando informaci�n b�sica que los usuarios tienen derecho a conocer, en especial sobre aquellos aspectos que afectan a la gesti�n que hagamos de su informaci�n personal.
Informaci�n que debes asegurarte de que los usuarios conocen antes de que >faciliten sus datos
El nuevo reglamento te obliga informar sobre todos los aspectos que afectan de manera directa o indirecta al tratamiento de los datos de las personas que te los facilitan.
Tus usuarios deben ser advertidos e informados, entre otras cosas, sobre:
1# La identidad del responsable de la gesti�n y, si procede, del delegado de protecci�n de datos, otra novedad que hasta ahora no exist�a. Una web que no proporcione informaci�n completa del responsable no podr� considerarse nunca una web legal.
2# La identidad de los destinatarios o las categor�as de destinatarios de los datos personales, algo que muy poquitos hacen y que incluye informar de todos los servicios de terceros que utilices en tu web y que almacenen tambi�n esos datos, como Hosting, plataforma de e-mail marketing, servicio de captaci�n de leads, etc.
3# Que sus datos personales se est�n recogiendo, utilizando o consultando, la medida en que dichos datos son o ser�n tratados y de las posibles consecuencias
de no facilitar tales datos.
4# Las finalidades con las que vas a utilizar esos datos personales y la base jur�dica del tratamiento.
5# El plazo durante el cual se conservar�n los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto tambi�n es una novedad).
La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificaci�n o supresi�n, o la limitaci�n de su tratamiento, o a oponerse al tratamiento, as� como el derecho a la portabilidad de los datos.
En la actual Ley de protecci�n de datos, ya cont�bamos con los derechos ARCO, ahora se impone un nuevo derecho: el de portabilidad, que implica el traspaso de informaci�n de una empresa a otra si el usuario o cliente lo solicita.
6# La existencia de decisiones automatizadas, incluida la elaboraci�n de perfiles para segmentaci�n (por ejemplo cuando esta elaboraci�n tenga consecuencias jur�dicas para el afectado).
Responsabilidad proactiva: mejor prevenir que curar
Si somos sinceros, hemos de asumir que no siempre se toman las medidas correctas para evitar la sustracci�n, la p�rdida o el acceso no autorizado a informaci�n de la que somos responsables.
La nueva Ley de protecci�n de datos te impone m�s responsabilidad frente a la informaci�n que gestionas de otros.
Te pide b�sicamente que tomes la iniciativa en la defensa de la privacidad en lugar de reaccionar cuando ya se ha producido una brecha o una vulneraci�n de derechos.
Por tanto, deber�s adoptar medidas para demostrar que est�s cumpliendo con el Reglamento, tendr�s que ser t� quien aporte "la carga de la prueba".
Es aqu� cuando entran en juego los procedimientos y medidas de seguridad que tendr�s que acreditar si se produce una brecha de seguridad o cualquier otra calamidad que comprometa la confidencialidad de los datos personales que est�n bajo tu responsabilidad.
Tambi�n te obliga a tener un procedimiento para comunicar esa brecha a los usuarios o clientes cuya informaci�n personal se vea comprometida.
El punto cr�tico: las sanciones e indemnizaciones
Otra parte que debes tener en cuenta es el colosal incremento de las sanciones por incumplimiento de cualquiera de estas premisas.
Antes, el tope de sanci�n se estimaba en los 600.000EUR y, para ello, la deb�as
de liar gord�sima.
El nuevo reglamento dispara esos importes y en el caso de infracciones leves, pasa de los 600.000EUR a los 10 millones de euros, o un 2% del volumen de negocio total anual del ejercicio financiero anterior.
En el caso de infracci�n grave, estas dos cifras se duplican, alcanzando la friolera de 20 millones de euros o un 4% del volumen de negocio.
Pero no todo son sanciones. Adem�s hay otra peculiaridad m�s preocupante a�n que har� que no te lo pienses dos veces a la hora de realizar tu reconversi�n digital legal.
El nuevo reglamento prev� la posibilidad de requerir indemnizaciones a los damnificados en materia de protecci�n de datos, algo que no contemplaba la actual LOPD.
Imagina la picaresca que puede generar esta medida y c�mo puede impactar en tu negocio porque puede propiciar la aparici�n de oportunistas caza-indemnizaciones. As� que mejor no tentar a la suerte y no darles la menor oportunidad.
Si has llegado hasta el final, solo puedo darte la enhorabuena.
S� que no es el tema m�s divertido de leer, pero posiblemente sea el m�s importante ahora mismo de cara a la que se avecina.
Ahora te toca a ti decidir si quieres armarte de valor para realizar tu reconversi�n digital legal o quedarte como hasta ahora y ver qu� pasa.
Solo una cosa te puedo decir: El mundo digital se ha transformado y nos ha transformado, indefectiblemente, a todos.
Eso supone la necesidad de trabajar en la consolidaci�n de una comunidad donde podamos distinguir claramente quienes nos ofrecen garant�as suficientes y qui�nes no.
Esta nueva ley de protecci�n de datos es una oportunidad, a la vez que un reto,
para situarte en un lado o en otro. A fin de cuentas, los que tendr�n la �ltima
palabra son los usuarios.
�Te he animado a dejar de ser un blogger Top Manta o ya eres de los que su web est� al tanto en materia legal?
[1]
http://josefacchin.com/ley-proteccion-de-datos/
-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC
... No vemos las cosas tal y como son. Las vemos tal y como somos.
--- crashmail + golded + binkd
# Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
* Origin: LiveWire BBS - Synchronet - LiveWireBBS.com (1:2320/100)