Nuevo RGPD en webs

Hola David actualmente estoy creando una web para una clínica dental con WordPress y estoy en las mismas... va a ser un lio gordo para todas las webs actualizarse a la nueva ley.

Si tienes un formulario de contacto tiene que cumplir estos requisitos:

• Casilla de aceptación explícita
(no seleccionada por defecto) de que el usuario acepta la política de privacidad de tu web.

• Un enlace a la política de privacidad de tu web.
  


• Un texto que detalle qué datos se almacenan, el responsable y su destino.
  


• Un modo de que el usuario ejerza su derecho al olvido en tu web.
  


• Asegurar que los datos viajen y se almacenen de manera encriptada
(HTTPS ).

Gracias por tu respuesta!
Si algún abogado/a entiende del tema y puede esclarecer las dudas sería magnífico!

Muy importante este tema. Me interesa mucho saber cómo aplicar en mi web para no tener problemas.

Yo tengo un formulario en mi web, ¿si lo quito poniendo un mailto se soluciona?

Por lo que lo yo he entnedido buscando informacion, ya que he tenido esa misma duda, quitar el formulario no evita tener que cumplir el RGPD ni el resto de normativa en relacion con proteccion de datos. Ya que sigues trabajando con datos de clientes, solo cambiaría la forma de recabar esos datos, los obtendrías por otros medios pero los obtendrías.
De lo que trata el reglamento es de la protección de datos y de como utilizas esos datos, realmente incluso sin web, si manejas datos de clientes tienes que adaptarte al RGPD.

En mi caso no hago envío de e-mails masivo con MailChimp o similares. Pero entiendo que se almacenan datos básicos para hacer las facturas. Con eso ya se manejan datos y supongo que habrá que adaptarse a la nueva normativa, ¿correcto?

Vi este enlace en Twitter y recordé este hilo, no sé si tendrá la información que buscan:
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_es

Esta mañana de nuevo contacté con un departamento jurídico en relación al asunto y me dijeron que si mi web no recopilo información de personas o empresas, quitando el formulario es suficiente para evitar el RGPD. Otra cosa es la LOPD que sí hay que seguir cumpliendo, temas de cookies y privacidad.

Para una web informativa donde no se recoge ningún dato, basta con eliminar el formulario.

A ver si os puedo ayudar. Yo también he consultado con varios departamentos jurídicos y además me considero un estudioso del GDPR.

Quitar el formulario de contacto no soluciona el "problema", lo complica y bastante.

Primero debemos saber lo que es el tratamiento de datos personales: Este abarca una amplia gama de operaciones, bien sean manuales o automatizadas y que incluyen la obtención, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales.

Si quitas el formulario de contacto de tu web y pones un email (mailto:tucorreo@loquesea.com) sigues tratando datos personales ya que tanto la dirección de email como la IP se consideran datos personales y esos datos los estás "obteniendo", es decir, estás haciendo un tratamiento de datos personales.

Y cumplir desde tu ordenador todo lo que exige sobre seguridad y privacidad el RGPD es más complicado que hacerlo desde tu web, donde se supone que tienes un hosting que cumple con el RGPD, tienes certificado SSL (https) y puedes instalar varios plugins de auditoria y seguridad, e incluso podrás dar acceso a los usuarios al ejercicio de sus derechos.

También debéis saber que si utilizas Gmail como plataforma para recibir y responder los correos estáis incumpliendo el GDPR. Gmail es de Google y sí, es verdad que está acogido al Escudo de Privacidad UE-EEUU (EU-US Privacy Shield) pero cuidado, es necesario que Google tenga un acuerdo como "encargado de tratamiento" establecido contigo y esto sólo lo hace con sus clientes de pago, es decir, utilizando Gmail a través de G-Suite. Mejor utilizar webmail de tu proveedor de hosting.

No quiero extenderme más, pero sí adelantaros que el GDPR es cosa seria y todos debemos de cumplir.

Muy buena argumentación!
Sin embargo mi web es meramente informativa y no pongo email. En mi caso me dijeron que quitando el formulario de contacto es suficiente para evitar el RGPD.

Por otro lado los proveedores de hosting (pocos) ofrecen un servicio jurídico para LOPD y RGPD pero facilitando textos, el resto del trabajo tiene que hacerlo cada uno.

Y para terminar, los plugins de WordPress no cumplen el reglamento por sí solos.

Ufff no me gusta ver que hay disparidad entre abogados, gestores o expertos jurídicos en el tema. Leer que unos dicen que con X es suficiente y otros que no demuestra que no están al día del tema y eso puede ocasionar problemas a los que confiemos en lo que nos dicen. No me gusta. Nada.

Yo me estoy adaptando actualmente y a mi me han dicho que eso no sirve, y buscando información he visto en varias sitios que se insiste que quitar el formulario no sirve para evitar cumplir el RGPD. Al final de una forma u otra se están recogiendo datos, y se están tratando esos datos.

Lo mejor y más seguro para evitar problemas en un futuro es dejarse soluciones ingeniosas que pueden dar problemas en un futuro y adaptarse al RGPD.

Hola investigando un poco he llegado a la Agencia Española de Protección de Datos donde tienen extensa información del RGPD. Además cuentan con una herramienta llamada FACILITA que te ayuda a crear los documentos necesarios adaptados a tu organización. Hay un vídeo explicativo de como funciona FACILITA.

En la misma web de la Agencia Española de Protección de Datos hay más herramientas una de ellas para ayudarte con la LOPD.

Espero os resuelva dudas y ayude.

Gracias por la aportación de la herramienta FACILITA. Pero recordad que dicha herramienta y sus documentos que genera, no implica el cumplimiento del RGPD, tal cual avisan en la propia web.

Por otro lado, ha llegado el momento de dar nombres, y yo personalmente he consultado dos veces con Nominalia (su departamento jurídico), una por tlfno y otra por chat y en ambos casos me dijeron (y repitieron) que quitando mi formulario puedo saltar el RGPD. Esto enn mi caso particular.

Mi pregunta es: si mi web es meramente informativa, solo tiene textos e imágenes y nada más, ¿de qué manera estoy recopilando datos personales sensibles?

Imagino que esto será igual que con los médicos, que uno te dice una cosa y el otro la contraria.

La herramienta FACILITA genera el texto que debes de incluir en los formularios que tengas en tu web (coletilla legal que dicen por ahí). Si que te genera el Documento de Registro de Actividades. Lo que no genera es el Documento de Seguridad, donde explica las directrices de lo que debe de incluir, es decir, no sirve como tal, hay que elaborarlo manualmente partiendo de dichas directrices.

David, aunque quites los formularios de contacto y aunque no tengas un enlace de email, si por ejemplo utilizas en tu web Google Analytics este recoge información personal (IP de usuario). Entonces debes de explicar en tu política de privacidad que estás utilizando dicho servicio (además, debes de aceptar un acuerdo con Google a modo de contrato de encargado de tratamiento). A partir del 25 de mayo la LOPD queda bajo el paraguas del GDPR. Recuerda que aunque el tratamiento no lo realices tu, sí que lo está realizando un tercero (Google como encargado de tratamiento) y el responsable final eres tú.

Otro encargado del tratamiento sería obligatoriamente tu empresa de hosting (alojamiento web), con el que debes de firmar un contrato de encargado de tratamiento. La herramienta FACILITA también incluye lo que debe de aparecer en dicho contrato. Esto también lo debes de explicar en tu política de privacidad y poner un enlace a la política de privacidad de tu empresa de hosting.

Debes de conocer si los plugins o módulos que utilizas en tu CMS procesan algún dato personal y si es así, saber si cumplen con el GDPR. Esto también lo debes de explicar en la política de privacidad y si es el caso poner un enlace a su política de privacidad. Por ejemplo, el archiconocido Akismet que viene por defecto en todas las instalaciones de wordpress procesa datos personales y no cumple (por el momento) con el GDPR, estar atentos porque igual hay que quitarlo.

Espero haber aclarado alguna duda.

Muy buena aportación Víctor.
Me quedo sorprendido (por no usar otra palabrita más callejera) de que una empresa del nivel de Nominalia me informen de forma presuntamente negligente. No lo entiendo, sobre todo cuando ellos ofrecen un servicio jurídico en este ámbito de internet y de LOPD, LSSI etc.

Ahora tengo más dudas que antes y muchas más preguntas.
¿Se puede cumplir con la actualización de LOPD sin cumplir el RGPD?
¿Dónde empieza una ley y dónde la otra?

Según la web de la Agencia Española de Protección de Datos:

"Tenga en cuenta que Facilita_RGPD es una ayuda y, por tanto, la documentación resultante deberá estar adaptada y actualizada a la situación de los tratamientos que se lleven a cabo en su entidad. La obtención de los documentos no implica el cumplimiento automático del RGPD."

Hola David.

No sabría que contestarte. Lo que sí que he leído es que la LOPD a partir del 25 de mayo queda bajo el paraguas del RGPD/GDPR.

Respecto al texto de la Agencia que has mostrado creo que es un descargo de responsabilidad. Si bien, el documento que te descargas después de cumplimentar el formulario, está elaborado en base a los datos que has facilitado (se supone que son correctos). Ya te adelanto que el "Anexo Medidas de Seguridad" no sirve como Documento de Seguridad, sólo te ayuda a elaborar tu propio Documento de Seguridad.

También se puede interpretar que sólo por el hecho de tener los documentos no te acredita como que cumples con el RGPD, hay muchos más cosas aparte de los documentos.

Slds.

Os dejo un enlace a un pdf con una pequeña guía para autónomos y Pymes. Espero que os sea de utilidad.

Gracias por el aporte!
Un detalle: me han dicho que se puede pedir indemnización a la vez que se presenta denuncia sobre el RGPD. Miedo me da pensar que habrá gente que denuncie sin orden ni concierto para "pillar cacho" como sea.

¡Buenas! En Rana Negra estamos ahora informando a todos nuestros clientes y prospectos para adaptar sus webs a la nueva ley de protección de datos. No es tanto lio como parece en la mayoría de los casos, la verdad, os dejo un enlace en el que hablamos al respecto y si alguien está interesado en que revisemos su web y le digamos qué es lo que necesita modificar y por cuánto se lo haríamos, puede escribirme a alicia@rananegra.es

https://www.rananegra.es/blog/prepara-web-nueva-ley-proteccion-datos-2018

¡Un saludo!