* Originally in ESP.CONSUMIDOR
* Crossposted in ESP.INTERNET


�Hola All!


Creo que os puede interesar (a los que est�is bajo la jurisdicci�n de la UE) esta entrada[1] en la que se referencia a la entrada en vigor (este pr�ximo a�o) de la nueva ley de protecci�n de datos en webs y derivados.

Es un poco largo, pero compensa al ser ameno. No obstante, me afecta en algunos

puntos y tendr� que corregir algunas cosillas. :-/



*Nueva Ley de Protecci�n de Datos: �Est� tu Web bien preparada para ella?*

By Marina Brocca
23 Octubre, 2016

�Hay una nueva ley de protecci�n de datos? S�, as� es. Si como en mi caso te mueves en el mundo digital deber�s ponerte al tanto con la nueva ley de protecci�n de datos.

Los temas legales en los blogs o webs son esos grandes desconocidos para los bloggers, que por lo general nos centramos m�s en la generaci�n de contenidos, el SEO y otros aspectos de nuestros sites.

Sin embargo, la importancia de tener unos textos legales completamente actualizados a la normativa cobra m�s importancia si cabe con estos nuevos cambios legales.

�C�mo blogger qu� he de saber de esta nueva ley de protecci�n de datos?

Debemos tener en cuenta que en general se trata de una normativa que ampl�a la anterior y que afecta principalmente a aspectos como nuevas responsabilidades y

medidas a implementar de obligado cumplimiento legal.

Por supuesto que para esto necesitamos a un profesional del sector, por ello hoy contamos en este 73� post invitado con una especialista en la materia como es Marina Brocca.

Se trata de un contenido complejo y de mucho valor, pero que seguro que con la gu�a que ha escrito Marina te resulta mucho m�s f�cil de comprender.

�Va a sobrevivir tu web a la nueva ley de protecci�n de datos?

Seguro te preguntar�s qu� hace una chica como yo, especializada en ley de protecci�n de datos, en un lugar como este.

A lo que respondo: �Buena pregunta!

El motivo de estar hoy aqu� no es otro que el de explicar la que se te viene encima si tienes un blog o una web en materia de ley de protecci�n de datos, porque no es moco de pavo. Y el que avisa no es traidor.

Memoriza esta fecha: 25 de mayo del 2018.

Es el plazo que tienes para tu reconversi�n digital legal. Para esta fecha ya tienes que haber realizado la transici�n. Por lo tanto, no lo dejes para �ltimo

momento y empieza cuanto antes.

Esta fecha marcar� un antes y un despu�s en la manera de gestionar la informaci�n de los dem�s, y por eso deber�as leer este post y memorizarlo (a ser posible), porque va a determinar en gran medida el futuro de muchos profesionales que vivimos de nuestra web y de nuestra audiencia.

Ya s� que los temas legales no son los que m�s te emocionan, pero en este caso tu supervivencia digital est� ligada a lo que he venido a contarte, as� que no te muevas de la silla.

�Otra nueva Ley de protecci�n de datos?

B�sicamente s�, pero mucho m�s exigente que la actual LOPD (Ley Org�nica de Protecci�n de datos), especialmente en materia de entornos digitales.

Estamos hablando del nuevo reglamento europeo de protecci�n de datos que se aprob� en mayo de 2016 y que acabar� con el batiburrillo de regulaciones en materia de protecci�n de datos de cada pa�s miembro de la Uni�n Europea.

Es l�gico que, si ya no tenemos fronteras y tenemos una moneda �nica, tambi�n tengamos una regulaci�n �nica en materia de protecci�n de datos que determine exigencias comunes que todos los europeos debemos acatar.

El nuevo reglamento europeo se impondr� sobre las regulaciones legales de cada pa�s y har� que te tomes en serio sus exigencias.

Ten en cuenta que la actual ley de protecci�n de datos se aprob� en 1999, y por

lo tanto no estaba preparada de ninguna manera para soportar la revoluci�n digital que hemos experimentado estos �ltimos a�os.

Ya hac�a falta una armonizaci�n legal que permitiera un comercio digital integrado y seguro para que todos los que operamos en entornos digitales contemos con un marco legal �nico.

Y esto, por supuesto, nos obliga a una transici�n.

�Por qu� te deber�a importar una nueva ley de protecci�n de datos?

Sin duda esta es la pregunta del mill�n, porque si al igual que muchos te has estado haciendo el sueco hasta ahora con la actual Ley de protecci�n de datos de �mbito estatal, es dif�cil imaginar que ahora vayas a interesante por otra regulaci�n europea. �Cierto?

A este punto quer�a llegar justamente.

C�mo dije al inicio de este post, la primera raz�n por la que deber�a importarte es por tu propia supervivencia digital. Y porque te juegas el tipo.

Perm�teme que, antes que exponga el resto de motivos por el que debes aplicarte

en esta nueva regulaci�n, te ponga en antecedentes para que puedas entender a d�nde quiero llegar.

El anarquismo bloggero y la ley de protecci�n de datos

A la mayor�a de los profesionales que operan en entornos digitales la ley de protecci�n de datos les importaba tanto como a Kiko Rivera el �lgebra.

Somos bastante indolentes con los aspectos legales de nuestra web, en gran parte porque nuestros usuarios tambi�n lo son...o lo eran.

Porque...

�Qui�n es el valiente que se pone a leer una pol�tica de privacidad?

Lo cierto es que cont�bamos con una regulaci�n que no supo ni explicarse, ni venderse y ni controlarse adecuadamente.

Al mismo tiempo, tuvo un fuerte desfase respecto al cambio de paradigma que han

supuesto los entornos digitales en la econom�a de mercado.

Muchos profesionales se lanzaron al encuentro de su parcela digital sin tener presente ninguna regulaci�n, solo importaba estar presente y conseguir el mayor

n�mero de usuarios posibles.

T�, como millones de personas m�s, empezaste a captar registros en una caza masiva de datos personales con la firme y peligrosa convicci�n de que esos datos te pertenec�an a ti (en tanto recolector) y no al usuario en s�.

Y aqu� comienza el descalabro del todo vale, los abusos de confianza a los usuarios y los desmadres con el tratamiento de informaci�n personal.

He escrito hasta la saciedad sobre la diferencia entre ser un profesional y ser

un top manta digital , una diferencia que no estaba muy presente en nuestro mundillo blogger pero que ser� muy evidente en cuanto el nuevo reglamento sea de obligado cumplimiento en la Uni�n Europea.

La era del top manta digital llega a su fin con el nuevo reglamento europeo, o al menos ese es su principal objetivo. Y es por eso que debes empezar a cambiar

el chip inmediatamente.

Razones para una conversi�n digital hacia la legalidad

Hasta ahora hab�as podido operar sin que la Ley de protecci�n de datos te quitara el sue�o.

Si bien tanto la LSSI como la LOPD eran regulaciones obligatorias en todas las p�ginas web, pocos se preocuparon de adecuar convenientemente sus espacios digitales para cumplir con el mandato legal.

Era mucho m�s importante coleccionar suscripciones que respetar y garantizar sus derechos.

El nuevo reglamento de protecci�n de datos propone un cambio de paradigma importante respecto al usuario porque impone una maduraci�n digital alineada con el usuario, y no con el negocio.
Razones para una conversi�n digital hacia la legalidad

Este es el cambio radical que supone esta nueva regulaci�n en materia de protecci�n de datos.

Hasta ahora, tanto t� como el resto de operadores digitales instrumentaban los datos personales de otros con la �nica finalidad de rentabilizarlos, de manera despreocupada y mercantilista.

Tanto es as�, que se compraban y vend�an leads, se compart�an y se utilizaban sin contar con el permiso de los usuarios, entre muchas otras pr�cticas que estaban al l�mite de la legalidad al no preverlas el marco legal.

Pues ahora ya lo est�n.

Con esta nueva ley de protecci�n de datos el foco legal se desplaza al usuario,

a quien se le confiere much�simo m�s control y poder sobre su propia informaci�n personal.

Eso se traduce en nuevas exigencias para todos los que gestionamos datos personales en entornos digitales.

Por lo tanto, si quieres seguir creciendo y consolidar tu estrategia digital, debes prestar mucha atenci�n a los cambios que tienes que poner en pr�ctica antes de que te pille el toro.

Recuerda que este nuevo reglamento refuerza los derechos de las personas que se

relacionan con tu web o blog y las obligaciones de quienes tratan o determinan el tratamiento de los datos personales de otros.
Entre los derechos que se ser�n reforzados se encuentran los siguientes:

La necesidad de obtener un consentimiento expreso de los usuarios o clientes para poder gestionar sus datos, con nuevos mecanismos para obtenerlo y

acreditarlo.

El derecho a que le ofrezcas a usuarios y clientes informaci�n completa sobre el uso de su propia informaci�n personal.

Deber�s concretar y especificar con mucho m�s rigor todo lo que incluya la informaci�n personal de las personas de quienes les requieras sus datos (en una

suscripci�n, comentario, registro, etc)

Garantizar un acceso f�cil de todos los que te aportan sus datos sus datos personales a la informaci�n que les concierne.

El derecho al olvido y al de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles.

El derecho a la portabilidad de los datos de un prestador de servicios a otro.

Principios b�sicos del nuevo reglamento de protecci�n de datos

Para que comprendas esta transici�n digital legal, debes conocer los principios

que la regulan:

? Principio de licitud, lealtad y transparencia

Los datos ser�n recogidos de manera l�cita, leal y transparente.

Por tanto, toda informaci�n relativa al tratamiento de estos datos debe ser accesible y f�cil de entender. Los fines espec�ficos del tratamiento de los datos personales deben ser expl�citos y leg�timos, y deben determinarse en el momento de su recogida.

? Principio de limitaci�n de la finalidad

Los datos ser�n recogidos con fines determinados. Esto significa que si recoges

datos con una finalidad determinada, no puedes utilizar posteriormente los datos con una finalidad diferente.

? Principio de minimizaci�n de datos

Se trata de que recojas los datos estrictamente necesarios en relaci�n con los fines para los que son tratados. Y eso significa los m�nimos posibles.

? Principio de limitaci�n del plazo de conservaci�n

Los datos ser�n mantenidos durante no m�s tiempo del necesario para los fines del tratamiento, algo que te obligar� a limpiar tus bases de datos peri�dicamente.

? Principio de integridad y confidencialidad

Los datos ser�n tratados de tal manera que se garantice una seguridad adecuada de los datos personales, algo que ya exige la actual Ley de protecci�n de datos.

? Principio de responsabilidad proactiva

El responsable del tratamiento ser� tambi�n responsable del cumplimiento de lo dispuesto en el Reglamento. Sobre esto hablar� con mayor detalle luego.

Normas que tienes que adoptar para la supervivencia de tu web de cara al >nuevo reglamento

S� que hasta aqu� has sido muy paciente, as� que es hora de ir al grano y explicar qu� cambios tienes que asumir para acoplarte a la transformaci�n digital legal que se avecina.

El consentimiento en el punto de mira

Este es un punto clave si tienes un blog o una web, y el que m�s trabajo de ajuste va a sufrir.

El nuevo reglamento exige que todo acto de requerimiento de datos personales tenga que ir precedido por un requerimiento de consentimiento expreso.

Este consentimiento debe tener 3 caracter�sticas fundamentales para que sea legal:

Debe ser expreso: no vale el consentimiento t�cito.
Debe ser espec�fico: ligado a una finalidad concreta y no gen�rico.
Debe ser verificable: debes poder acreditar que lo has obtenido.

Debes desterrar los formularios de suscripci�n, contacto, registro etc., que no

incluyan mecanismos informativos claros y no requieran el consentimiento de los

usuarios.

Debes olvidarte, por lo tanto, de presuponer el consentimiento del usuario por inacci�n u omisi�n porque eso ya no ser� v�lido.

El silencio, las casillas pre marcadas o la inacci�n del usuario al requerir datos personales no ser�n legales de cara al nuevo reglamento de protecci�n de datos.

Y aqu� la cuesti�n m�s complicada y que te afecta directamente: no basta solo con modificar todos los formularios de contacto y a�adirles un check box, debes

convertir todos los consentimientos t�citos que hayas obtenido hasta ahora y convertirlos en expl�citos si quieres seguir trabajando con ellos.

Este es sin duda el punto m�s doloroso y cr�tico para todos los que tenemos una

lista de suscriptores, porque si no te aseguras de reconvertir esa lista y conseguir un consentimiento expreso, cualquiera de ellos puede convertirse en un potencial peligro como se le ocurra denunciarte.

Por otra parte, si tienes una inspecci�n, deber�s poder acreditar todos los consentimientos expresos de la gente cuya informaci�n personal administras.

�C�mo puedes resolverlo t�cnicamente en tu web?

En los nuevos registros no ser� muy complicado realizar el ajuste.

Los pasos ser�an los siguientes:

Paso 1 => Lo primero ser� revisar si los formularios de tu web o blog permiten obtener el consentimiento de forma adecuada comprobando que este consentimiento

sea expl�cito, espec�fico y verificable.
�Tienes un check box en cada uno de tus formularios con un enlace a tu pol�tica

de privacidad?

Yo recomiendo, adem�s del enlace a la pol�tica de privacidad, insertar una cl�usula legal visible debajo de cada formulario que exponga los puntos b�sicos

y que est� sujeta a aceptaci�n por parte del usuario antes de enviar sus datos.

Esto te va a permitir acreditarlo debidamente con posterioridad.

Paso 2 => Deber�s esmerarte en redactar y reforzar todas tus cl�usulas informativas y tener mayor precisi�n al redactarlas, atendiendo a todos los puntos que el reglamento te exige informar (ver siguiente punto).

Paso 3 => Deber�s recordar que el consentimiento ha de ser revocable en cualquier momento.

Por tanto, deber�s facilitar un mecanismo para que los usuarios puedan perderte

de vista f�cilmente.

Eso es sencillo en el caso de suscriptores, pero a los clientes deber�s garantizarles la misma facilidad.

Paso 4 => Si utilizas datos personales para marketing directo ser� necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento.

Y si realizas elaboraci�n de perfiles es mejor que te asegures un consentimiento espec�fico para esta finalidad concreta (como explico en este post).

�C�mo regularizar los registros antiguos?

La �nica manera que se me ocurre es enviar un bolet�n en donde les invites a confirmar su suscripci�n y otorgarte un consentimiento expreso.

Para eso, deber�s conducirlos hacia tu nuevo formulario de suscripci�n y pedirles que marquen la casilla de consentimiento siguiendo las recomendaciones

anteriores.

Es evidente que vas a perder a muchos suscriptores por el camino, pero sin duda

se quedar�n los que realmente quieran seguir a tu lado. Del resto tendr�s que deshacerte, ya que van a suponer un gran riesgo para tu negocio.

Antes de que empieces a odiarme y clavar alfileres en mi foto debes saber que esta ley no la hice yo y que no se mata al mensajero. Yo s�lo te informo la mejor forma de sobrevivir de cara a la nueva ley de protecci�n de datos europea.

La transparencia informativa

Ya no valen las generalidades, las medias verdades, los copia y pega de textos legales de otros.

La clave es avanzar hacia un modelo m�s amable y ameno que invite al usuario a leer los t�rminos y condiciones legales de una web.

Por eso he de insistir en la creaci�n de pol�ticas de privacidad atractivas que

motiven al usuario a su lectura en lugar de enfrentarlo a textos sopor�feros en

indescifrables.

Yo lo llamo Pol�ticas friendly.

Las pol�ticas friendy en el nuevo marco digital

Las pol�ticas friendy son accesibles, son cercanas, son claras y f�ciles de leer. Deben invitar al usuario a leerlas en lugar de animarlo a salir corriendo.

�Crees que esto no es posible?

Que se lo pregunten, sino, a Rub�n Alonso: juntos trabajamos para que su pol�tica de privacidad sea toda una declaraci�n de principios y un alarde de transparencia.

Si sabes c�mo escribir un post para que tus lectores te lean y sean atractivos,

con tu pol�tica de privacidad debes hacer lo mismo.

Ya s� que una cosa es decirlo y que otra bien distinta es llevarlo a la pr�ctica.

Lo cierto es que tienes que empezar a revisar tus textos legales y tus cl�usulas informativas. Todas deben ser personales y ajustadas a la realidad de

tu web (no a la del vecino)

Tambi�n deber�s ofrecer mecanismos informativos suficientes para que toda informaci�n y comunicaci�n relativa al tratamiento de datos personales sea f�cilmente accesible y f�cil de entender y, especialmente, que no se diluya en palabrer�a t�cnica.

Dicho esto, est� claro que no habr� lugar para las webs o blog que operen encapuchadas, ocultando informaci�n b�sica que los usuarios tienen derecho a conocer, en especial sobre aquellos aspectos que afectan a la gesti�n que hagamos de su informaci�n personal.

Informaci�n que debes asegurarte de que los usuarios conocen antes de que >faciliten sus datos

El nuevo reglamento te obliga informar sobre todos los aspectos que afectan de manera directa o indirecta al tratamiento de los datos de las personas que te los facilitan.

Tus usuarios deben ser advertidos e informados, entre otras cosas, sobre:

1# La identidad del responsable de la gesti�n y, si procede, del delegado de protecci�n de datos, otra novedad que hasta ahora no exist�a. Una web que no proporcione informaci�n completa del responsable no podr� considerarse nunca una web legal.

2# La identidad de los destinatarios o las categor�as de destinatarios de los datos personales, algo que muy poquitos hacen y que incluye informar de todos los servicios de terceros que utilices en tu web y que almacenen tambi�n esos datos, como Hosting, plataforma de e-mail marketing, servicio de captaci�n de leads, etc.

3# Que sus datos personales se est�n recogiendo, utilizando o consultando, la medida en que dichos datos son o ser�n tratados y de las posibles consecuencias

de no facilitar tales datos.

4# Las finalidades con las que vas a utilizar esos datos personales y la base jur�dica del tratamiento.

5# El plazo durante el cual se conservar�n los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto tambi�n es una novedad).

La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificaci�n o supresi�n, o la limitaci�n de su tratamiento, o a oponerse al tratamiento, as� como el derecho a la portabilidad de los datos.

En la actual Ley de protecci�n de datos, ya cont�bamos con los derechos ARCO, ahora se impone un nuevo derecho: el de portabilidad, que implica el traspaso de informaci�n de una empresa a otra si el usuario o cliente lo solicita.

6# La existencia de decisiones automatizadas, incluida la elaboraci�n de perfiles para segmentaci�n (por ejemplo cuando esta elaboraci�n tenga consecuencias jur�dicas para el afectado).
Responsabilidad proactiva: mejor prevenir que curar

Si somos sinceros, hemos de asumir que no siempre se toman las medidas correctas para evitar la sustracci�n, la p�rdida o el acceso no autorizado a informaci�n de la que somos responsables.

La nueva Ley de protecci�n de datos te impone m�s responsabilidad frente a la informaci�n que gestionas de otros.

Te pide b�sicamente que tomes la iniciativa en la defensa de la privacidad en lugar de reaccionar cuando ya se ha producido una brecha o una vulneraci�n de derechos.

Por tanto, deber�s adoptar medidas para demostrar que est�s cumpliendo con el Reglamento, tendr�s que ser t� quien aporte "la carga de la prueba".

Es aqu� cuando entran en juego los procedimientos y medidas de seguridad que tendr�s que acreditar si se produce una brecha de seguridad o cualquier otra calamidad que comprometa la confidencialidad de los datos personales que est�n bajo tu responsabilidad.

Tambi�n te obliga a tener un procedimiento para comunicar esa brecha a los usuarios o clientes cuya informaci�n personal se vea comprometida.

El punto cr�tico: las sanciones e indemnizaciones

Otra parte que debes tener en cuenta es el colosal incremento de las sanciones por incumplimiento de cualquiera de estas premisas.

Antes, el tope de sanci�n se estimaba en los 600.000EUR y, para ello, la deb�as

de liar gord�sima.

El nuevo reglamento dispara esos importes y en el caso de infracciones leves, pasa de los 600.000EUR a los 10 millones de euros, o un 2% del volumen de negocio total anual del ejercicio financiero anterior.

En el caso de infracci�n grave, estas dos cifras se duplican, alcanzando la friolera de 20 millones de euros o un 4% del volumen de negocio.

Pero no todo son sanciones. Adem�s hay otra peculiaridad m�s preocupante a�n que har� que no te lo pienses dos veces a la hora de realizar tu reconversi�n digital legal.

El nuevo reglamento prev� la posibilidad de requerir indemnizaciones a los damnificados en materia de protecci�n de datos, algo que no contemplaba la actual LOPD.

Imagina la picaresca que puede generar esta medida y c�mo puede impactar en tu negocio porque puede propiciar la aparici�n de oportunistas caza-indemnizaciones. As� que mejor no tentar a la suerte y no darles la menor oportunidad.


Si has llegado hasta el final, solo puedo darte la enhorabuena.

S� que no es el tema m�s divertido de leer, pero posiblemente sea el m�s importante ahora mismo de cara a la que se avecina.

Ahora te toca a ti decidir si quieres armarte de valor para realizar tu reconversi�n digital legal o quedarte como hasta ahora y ver qu� pasa.

Solo una cosa te puedo decir: El mundo digital se ha transformado y nos ha transformado, indefectiblemente, a todos.

Eso supone la necesidad de trabajar en la consolidaci�n de una comunidad donde podamos distinguir claramente quienes nos ofrecen garant�as suficientes y qui�nes no.

Esta nueva ley de protecci�n de datos es una oportunidad, a la vez que un reto,

para situarte en un lado o en otro. A fin de cuentas, los que tendr�n la �ltima

palabra son los usuarios.

�Te he animado a dejar de ser un blogger Top Manta o ya eres de los que su web est� al tanto en materia legal?


[1]http://josefacchin.com/ley-proteccion-de-datos/

-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... No vemos las cosas tal y como son. Las vemos tal y como somos.
--- crashmail + golded + binkd
# Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
* Origin: LiveWire BBS - Synchronet - LiveWireBBS.com (1:2320/100)