Saltear al contenido principal
1-800-987-654 admin@totalwptheme.com
Mitos, Falsedades Y Medias Verdades Sobre El RGPD

Mitos, falsedades y medias verdades sobre el RGPD

Llegó el 25 M, el día de juicio final para muchos que entraron en una especie de fiebre de reconversión legal al RGPD, el Reglamento Europeo de Protección de datos.

La protección de datos, un tema casi marginal para muchos e inexistente para otros, pasó a ser el más popular de los temas y prueba de ello, es que esta servidora hizo más bolos hablando de RGPD en un mes que Falete en pleno apogeo.

El caso es que las prisas nunca han sido buenas consejeras, y entre tanto desespero por tener todo solucionado ante el temido 25M, tanto discurso apocalíptico y tanto opinólogo oportunista, se crearon toda clase de mitos, falsas leyendas y bulos de cuidado que crearon un escenario de confusión que es preciso remediar.

Autónomos, empresas, instituciones, se vieron expuestos a toda clase de mensajes contradictorios, cada maestrito con su librito ¿a quién creer?

Por otra parte, seamos honestos, a la hora de establecer nuestro peculiar sistema de creencias, “la versión más cómoda a mis intereses es la correcta”. Es lo que dio origen a muchas versiones del RGPD alternativas que gozaron de gran aceptación entre los tertulianos, si un señor con mucha audiencia que se dedica al SEO dice que no hay que regular los consentimientos porque lo leyó a saber dónde  y un consultor especializado en protección de datos dice lo contrario, es muy posible que la versión del SEO tenga mucha más credibilidad por la premisa de inicio, y así ocurrió, muchos clientes dieron toda credibilidad a los alegatos de cuñado vertidos por las redes mientras cuestionaban enérgicamente los argumentos que dábamos los especialistas (incluyendo citas literales a la fuente, el RGPD).

Estos alegatos de cuñado crearon versiones muy sui genéris del RGPD con los que los consultores tuvimos que batallar sin descanso.

Lo que sigue es una recopilación personal de los principales mensajes que recibí durante este tiempo junto con mis compañeros de LEXblogger (ES) por parte de clientes aturullados y confusos  que hemos tenido que clarificar de manera continua y reiterada.

Si eres de lo que todavía no se aclara, aquí encontrarás gran parte de las respuestas.

Preguntas que se repiten, creencias equivocadas

Mientras informe a mi lista es suficiente, no es necesario volver a pedir el consentimiento.

El consentimiento ha sido el punto más crítico para las empresas y profesionales, el más polémico y el que generó mayores mitos y falsas creencias. Es lógico, este cambio legislativo impone un enorme quebradero de cabeza. El RGPD impone la necesidad de acreditar una base legal que legitime el tratamiento y en el caso de personas vinculadas con nuestra marca que no son clientes, esa base legal no puede ser otra que no sea el consentimiento.

En el mundo blogging, las listas de suscriptores son sagradas “The Money Is In The List “

Cuesta muchísimo esfuerzo construir una comunidad y el RGPD nos impone revalidar el consentimiento de cada uno de esos lead, esto implica una auténtica  escabechina nada sencilla de digerir, pero, aunque no nos guste nada, lo cierto es que cada lead del que no podamos acreditar el consentimiento se convierte en un auténtico  “lead granada” que puede estallar en cualquier momento.

Sabemos que  el consentimiento “es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”

Sabemos también que el RGPD le da otra dimensión al consentimiento que afecta no solo a los registros que vayamos a captar a partir del 25M, afecta a todo tratamiento previo y, por tanto, a todos los registros que tengamos en nuestras listas y en dónde no podamos establecer otra base legal para el tratamiento, como el interés legítimo o la relación contractual, vamos, que un suscriptor que no sea cliente debe darnos su consentimiento, no hay matices.

Enviar un correo informativo es totalmente ineficaz a la hora de acreditar que el consentimiento válido del usuario según estos nuevos requisitos.

Muchas campañas que se lanzaron a granel en el último tiempo se han amparado en esta falsa creencia y otras han tirado de picaresca:

“Si no te das de baja, doy por hecho que aceptas seguir en mi lista” es lo que conocemos por consentimiento por omisión, algo que se prohíbe de manera manifiesta en el propio reglamento en su Considerando 32, el GDPR dice lo siguiente acerca de la declaración o acto afirmativo claro: «podría incluir marcar una casilla de un sitio web en Internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales» de manera que «el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».

Es uno de los mayores errores cometidos y por cometer respecto a la regularización del consentimiento, no obtener una prueba válida para acreditar ese consentimiento.

Por otra parte, al definir como condición que sea especifico, las finalidades del tratamiento de datos deben aparecer de manera diferenciada en el momento de recabar el consentimiento  y no pueden ampliarse una vez que el sujeto ha consentido la recogida y el tratamiento de sus datos. Esto genera también la necesidad de un consentimiento granular, es decir, una casilla asociada a cada finalidad.

¿De verdad es obligatorio el uso de un check box de confirmación en todos los formularios, aunque utilice un sistema de doble opt-in?

Esta pregunta la he respondido unas 698 veces según marca el contador.

Se confunde la misión del doble-opt in con la misión del check box de consentimiento, y parecido no es lo mismo señores míos.

El doble opt-in es un sistema de autenticación que  certifica la identidad del usuario e impide usurpación de identidades y suscripciones fraudulentas. Por otra parte, el consentimiento exige que sea previo al tratamiento y el doble opt-in implica ya un tratamiento desde el momento en que mi servidor recaba esos datos y envía un correo de validación.

 El check box por su parte, condiciona el tratamiento a la aceptación, es decir, hasta que el usuario no haga Click en la casilla, no es posible recabar datos y, por tanto, garantiza un consentimiento precio asociado a una información.

Lo que debemos tener claro es que el doble opt-in complementa el opt in de aceptación

Por otra parte, el consentimiento debe ser acreditable y debemos poder acreditar y documentar lo siguiente:

  • Quién otorgó su consentimiento: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle .
  • Cuando y cómo se otorgó el consentimiento, es necesario obtenerlo con un sello de tiempo y de manera que podamos garantizar que no ha sido alterado ni manipulado manualmente.
  • Qué información recibió la persona que consintió: Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles.

Todo esto debe acreditar el consentimiento y, por tanto, el doble opt-in no puede sustituir al check box.

Por mucho que nos pese, no hay trucos ni atajos porque el consentimiento debe ser acreditable, a menos que tengas una relación comercial con las personas de tu lista y puedas utilizar como base legal el interés legítimo .

El RGPD solo afecta a empresas de la Unión Europea

Pues no, el RGPD es de aplicación extraterritorial a todas las empresas y  sitios web que operen en Europa, es decir, que traten datos de ciudadanos europeos, sin importar dónde esté inscrita la sociedad mercantil o dónde se encuentren los servidores. Ya se habla del posible bloqueo europeo a los sitios web que incumplan el reglamento desde el exterior, y se establecerá un importante comité europeo compuesto por representantes de las autoridades nacionales de protección de datos.

El RGPD me obliga a informar de mis datos personales si tengo una web, antes no era necesario ¿Qué pasa con mis derechos?

Otra pregunta que se ha repetido muchísima y que parte de otra falsa creencia. Es cierto que el RGPD, establece entre los derechos del interesado, el de transparencia de la información,  el responsable tiene la obligación de informar a los interesados sobre aspectos fundamentales que afectan al tratamiento de su información, como su identidad, datos de contacto, fines del tratamiento, intereses legítimos del responsable, plazo de conservación de los datos, y también, acerca de los “destinatarios” o de las “categorías de destinatarios” de sus datos personales.

Sin embargo, la LOPD ya incluía la necesidad de informar a los interesados de la identidad del responsable de la información y, por tanto, no es que sea algo nuevo.

Es comprensible que muchos profesionales se sientan incómodos al tener que exponer datos que afectan a su identidad, como su nombre y apellidos, DNI, dirección, etc., pero debemos considerar que el espíritu del reglamento es defender los intereses de los ciudadanos para que sepamos que empresas  y profesionales almacenan nuestros datos, tenemos derecho a ello y creo que siempre tienen que prevalecer los intereses de los ciudadanos por sobre los de las empresas.

Hemos de admitir que, en entornos digitales, y en especial en el mundo blogging, estamos acostumbrados a la opacidad, a la falta de transparencia, a utilizar la información de usuarios y suscriptores sin comunicar nada al respecto a los titulares de esa información.

¿Cuántos profesionales operan bajo un Nick o una marca comercial? Ni siquiera sabemos dónde almacena nuestra información, si en Etiopía, China o Tombuctú y menos con quien comparte esa información.

El RGPD otorga a los ciudadanos mayores elementos de control sobre la información que le concierne y eso obliga a todo prestador, a desarrollar políticas informativas más claras y mecanismos para recabar el  permiso con lo informado. Obliga también a que esa información se presente:

  • En un lenguaje claro y sencillo.
  • De forma concisa, transparente, inteligible y de fácil acceso.
  • Encontrando equilibrio entre concisión y precisión, evitando circunloquios, explicaciones innecesarias o detalles confusos.
  • Evitando el abuso de citas legales innecesarias y términos ambiguos o con escaso sentido para las personas destinatarias.

¿Debo poner todo ese tocho debajo de cada formulario? ¿y que pasa con el diseño?

Para hacer compatible la mayor exigencia de información que introduce el RGPD y la necesidad de claridad y concisión y comprensión en la forma de presentarla, se recomienda adoptar modelos de información por capas o niveles. Sin embargo, muchos han propagado la creencia de que no era necesario informar por capas y bastaba con un simple check box.

En la guía sobre el deber de informar publicado por la Agencia Española de Protección de datos (ES), queda cristalino que debe establecerse un sistema de información pro capas.

Por tanto, todo sistema de captura deberá contar con un  check box para recabar el consentimiento, una primera capa informativa y una segunda capa ampliando esa información:

politica privacidad

Para cerrar este soliloquio, decir que esos elementos son los que permiten a cualquier usuario, establecer puntos claros de identificación para diferenciar  una página web que se presenta en modo cumplidor de otra que se presente en modo infractor, así de simple.

¿Cómo puedo cumplir con el RGPD sin trampas ni mitos?

Sería injusto marcharme después de machacar tanto mito y falsa creencia sin ofrecer una salida efectiva y práctica  a todo este entuerto.

Es cierto que el RGPD exige mayores exigencias a profesionales y empresas. Estas nuevas responsabilidades,  suponen a mi juicio,  más competitividad, una clara ventaja a la hora de consolidad el comercio digital.

Debemos perder el miedo a la transparencia, al compromiso con nuestros  usuarios, perder el miedo a ofrecer garantías y avanzar a una cultura digital que propicie espacios respirables de confianza donde todos podamos operar con mayor tranquilidad.

No podemos ser profesionales digitales sin no somos profesionales en la gestión responsable de la información personal, es algo inherente a nuestro trabajo.

Ciertamente, es más sencillo contarlo que hacerlo, por eso en LEXblogger hemos creado una herramienta eficaz que permite realizar una adecuación  todo tipo de proyectos online y offline de riesgo bajo, es decir, aquellas que no entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines y que no requieran la presencia de un delegado de protección de datos.

Hemos creado soluciones muy eficaces para completar una adecuación rigurosa: Por un lado , tenemos  los planes Legal Box Basic y Legal Box Normal, que consisten en una licencia de la App LEXblogger. Se trata de una aplicación online que mediante ventanas  irá recabando información sobre la actividad, los tratamientos que se realizan, tanto online como offline y al final del proceso, genera toda la documentación  y los procedimientos que necesita implementar una Pyme o un emprendedor y cómo implementarla.

Ambas licencias pueden ayudar eficazmente a pymes y emprendedores a realizar su reconversión al RGPD y mantener un sistema activo de protección de datos.

Aquí puedes conocer la herramienta y adquirirla (ES).

foto perfil marina

Marina Brocca

Consultora Especialista en Marketing Legal y Protección de Datos. Divulgadora, ponente  y formadora. Co-fundadora de LEXblogger

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies

ACEPTAR
Volver arriba