Guía para cumplir con el RGPD en tu blog + CHECKLIST

Seguro que a estas alturas ya sabes que, independientemente de que te saques un dinerillo con tu blog, es decir, monetices o no tu contenido, un blog tiene que cumplir con el RGPD. Esto es así desde el momento en que instala un formulario de contacto o de comentarios o desde que inaugura una newsletter, y no digamos ya con las mil cosas más que se pueden hacer online.

Para que cumplir con la protección de datos te resulte más sencillo, en este post te traigo una Guía para cumplir con el RGPD en tu blog, y además una checklist para que no se te olvide nada cuando te pongas manos a la obra.

Y no, en este artículo no encontrarás solamente las cosas “visibles” de los sitios online, es decir, la política de privacidad, el aviso de cookies y similares, sino también los procedimientos que exigen tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos y garantía de derechos digitales (LOPD) que salió en diciembre de 2018.

¿Todo listo? Pues empezamos.


También te puede interesar:

🔹 7 mitos sobre la protección de datos y el marketing digital

🔹 Las 25 mejores cuentas de twitter para saberlo todo sobre privacidad


 

🔴 Requisito #0. El Registro de Actividades del tratamiento (RAT)

Vaya lista más rara que empieza con un cero, ¿no? Pues bueno, resulta que el Registro de Actividades del Tratamiento (RAT) es un requisito que, al final, es imprescindible para saber dónde estamos y a dónde vamos con esto de la protección de datos. Es decir, es extremadamente útil.

¿Por qué? Porque el Registro de Actividades del Tratamiento (RAT) es, como su nombre indica, un registro donde se describe cómo se tratan los datos personales.

 

🔓 Contenido del RAT

De acuerdo con el artículo 30 del RGPD (y el 31 de la nueva LOPD), el Registro de Actividades del Tratamiento (RAT) es un documento que debe constar por escrito, como mínimo en formato electrónico, y que debe tener:

  • El nombre y datos de contacto del responsable (y del corresponsable, del representante del responsable y del Delegado de Protección de Datos, si los hubiera)
  • Las finalidades para las que se tratan los datos personales.
  • Una descripción de las categorías de interesados y de las categorías de datos personales que se tratan (de quién recoges datos y cuáles)
  • Las categorías de destinatarios (a quién le mandas los datos o a quién se los comunicas, como tu gestor de newsletter, tu hosting…)
  • Las transferencias internacionales que tengan lugar (fuera del EEE) y, si fueran a un país no seguro, las garantías que justifican esa transferencia de datos internacional
  • Los plazos previstos para borrar los datos, o los criterios para su borrado
  • Una descripción de las medidas de seguridad que se utilizan para garantizar la confidencialidad, integridad y disponibilidad de los datos

Como ves, el Registro de Actividades del Tratamiento (RAT)  da una visión general bastante completa sobre qué se hace con la información personal, a quién se le envía, en qué condiciones… Pero es cierto que, en la mayoría de los casos, no es obligatorio.

Solamente si tienes esta información disponible puedes empezar con el resto de requisitos. Es a partir de este documento donde puedes empezar a cumplir con el resto de procedimientos y es, desde luego, una medida proactiva en sintonía con el espíritu que inspira el RGPD.

 

 

🔴 Requisito #1. Analiza los datos que tratas y las medidas de seguridad que aplicas

Lo que tienes que tener clarísimo antes de empezar a trabajar en el cumplimiento de la normativa de protección de datos es qué información personal tienes (o a cuál accedes), de quién y qué medidas aplicas (incluso sin darte cuenta) para que esa información sea íntegra, confidencial y esté disponible. Ah, y además, debes tratar los datos con lealtad.

He matizado que la información personal puede ser algo que “tengas“, pero también “a lo que accedas”, porque en muchos casos a través de los perfiles de redes sociales de un blog (o de una persona que utiliza ese blog como impulso a su marca personal) también se accede a información personal de usuarios. En estos casos podrás ser responsable tú, y también la red social en cuestión.

Pero no nos vayamos por las ramas, baste esto para indicarte que los datos de quien interactúa contigo en el contexto de tu actividad digital como marca pueden no pertenecer a una actividad totalmente privada, esto es, no estar exentas de cumplir el RGPD.

En definitiva, a partir del Registro de Actividades del Tratamiento, ten muy claro qué haces con la información y cómo la proteges antes de ir a por el siguiente punto del checklist.

 

🔴 Requisito #2. El Análisis de Riesgos (AR) o la Evaluación de Impacto (EIPD)

El Análisis de Riesgos (AR) es uno de los procedimientos imprescindibles a la hora de cumplir el RGPD. El principio de “privacidad desde el diseño y por defecto” y el enfoque basado en los riesgos condicionan todo el tratamiento de información personal en el marco del RGPD.

En el artículo 24 del RGPD se establece que los responsables del tratamiento deben tener en cuenta los riesgos según su probabilidad y gravedad, además de “la naturaleza, el ámbito, el contexto y los fines del tratamiento” para diseñar las medidas de seguridad (tanto técnicas como organizativas, es decir, procedimentales y de organización) que protejan los derechos y libertades de las personas físicas.

Además, en los considerandos del RGPD (las aclaraciones interpretativas que van delante de los artículos del Reglamento propiamente dicho) se establece que el responsable debe estar en condiciones de demostrar que su actividad cumple con el RGPD. No solamente hay que tener cuidado, hay que documentarlo.

🔹 Si quieres echar un vistazo, la Agencia Española de Protección de Datos (AEPD) ha publicado una Guía práctica para el Análisis de Riesgos que puedes encontrar aquí en PDF.

 

🔓 La Evaluación de Impacto (EIPD)

En algunos casos, el Análisis de Riesgos no es suficiente para cumplir con el Reglamento, sino que es necesario un proceso mucho más exhaustivo que se llama Evaluación de impacto relativa a la protección de datos (EIPD). ¿En qué casos? En los que dice el artículo 35 del RGPD.

Copio y pego aquí solamente el punto número 1 del artículo (la negrita es mía), porque la Evaluación de Impacto es con diferencia uno de los procedimientos más delicados de la gestión de la privacidad. Protagonista de tesis y quebraderos de cabeza varios, es too much como para meternos en profundidad con ello por ahora.

Artículo 35. Evaluación de impacto relativa a la protección de datos

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

Este artículo, que seguramente te suene a idioma desconocido, da una idea de lo complejo que es el tema de las Evaluaciones de Impacto. A falta de una lista exhaustiva de situaciones en las que sea obligatoria (lista que la Agencia Española de Protección de Datos no ha publicado todavía), para ejemplificarlo piensa que las agencias de marketing que hagan retargeting tendrán que hacerla, así como las empresas que utilicen un sistema de acceso a sus instalaciones basado en la huella dactilar.

🔹 Tienes la Guía práctica para las evaluaciones de impacto de la AEPD en PDF aquí, pero ten en cuenta que la propia Agencia tiene previsto publicar un modelo de EIPD a lo largo de 2019. El listado de actividades que la requieren de forma obligatoria saldrá… vete tú a saber cuándo.

 

🔴 Requisito #3. Las medidas de seguridad a aplicar

Ahora que ya sabes qué problemas puede haber con la información personal que tratas, es momento de decidir qué vas a hacer para que el riesgo que has detectado disminuya. Es cierto que el riesgo no desaparecerá nunca y que cualquiera puede tener un problema, pero lo que marcará la diferencia es lo que has hecho para prevenirlo y la celeridad con la que minimizas sus efectos.

Cuando vayas a decidir qué medidas de seguridad vas a aplicar, puedes empezar con aquellas que el propio RGPD considera en su artículo 32:

Artículo 32. Seguridad del tratamiento

1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

 

🔓 Disminuyendo el nivel de riesgo

El artículo 32 indica que los datos deben estar disponibles y ser íntegros y confidenciales, y que puedes seudonimizarlos, hacer copias de seguridad y mantener tus equipos y tu portal continuamente actualizado, por ejemplo.

Pero los riesgos cuyo nivel debes disminuir no tienen que ver solamente con cuestiones técnicas, sino que deberás evaluar también si lo que haces con los datos es lícito, es decir, si tienes una base legitimadora acorde al Reglamento para hacer lo que haces (a veces no basta o no es recomendable el consentimiento), y si lo haces de forma leal.

También deberás evaluar, por supuesto, si los datos que tratas son los mínimos imprescindibles para tu actividad. Si alguna de estas cosas no se cumplen, debes corregirlas.

Por lo tanto, las medidas de seguridad a aplicar, tanto técnicas como organizativas, estarán encaminadas a garantizar la disponibilidad, integridad y confidencialidad de los datos, pero también que el tratamiento sea acorde al RGPD y la LOPD.

🔹 NOTA. Seudonimizar los datos personales implica un proceso reversible que hace “menos” identificables a las personas sobre las que trata la información que tienes. Esto quiere decir que, teniendo la clave para descubrir la relación entre las personas y la información, se puede saber de qué persona se habla en cada caso.

🔹 NOTA2. Seudonimizar no es lo mismo que anonimizar (hacer anónimo). Seudonimizar es reversible, mientras que anonimizar no lo es. Y lo que es más, a la información seudonimizada (que se puede relacionar con las personas si tienes la clave) sí que aplica el RGPD, pero a la anonimizada no aplica porque ya no se trata de datos personales, al no poder identificar a las personas.

🔹 NOTA3. Si quieres aprender un poquito más de esto, dímelo en un comentario y preparo un post que lo desarrolle un poco más.

 

 

🔴 Requisito #4. Cumplimiento del deber de informar y consentimiento

Otra de las obligaciones que tienen los responsables del tratamiento de datos personales es la de informar a los interesados sobre qué se va a hacer con sus datos personales antes de recogerlos o registrarlos.

Esto de antes de registrarlos es muy importante y es lo que hace que las leyendas de los formularios de contacto y comentarios estén situadas cerca del botón de enviar. Un interesado está en condiciones de dar su consentimiento informado para tratar sus datos solamente después de saber qué se va a hacer con ellos. Tiene sentido, ¿no? Si fuera al revés, muy informado no sería…

Ahora bien, el deber de informar a los interesados se debe cumplir tanto si hemos obtenido sus datos personales de ellos mismos, como si los hemos obtenido de otra fuente (por ejemplo, cuando cogemos el email de contacto de una persona que lo ha colgado en su propia página web). Pero, ¿de qué debemos informar?

 

🔓 De qué debemos informar (I)

Vamos a suponer que en general los datos que obtienes en tu blog los obtienes porque los lectores te los dan. En ese caso, aplican el artículo 13 del Reglamento y el 11 de la LOPD. Antes de recoger sus datos, debemos informar de:

  • Quién es el responsable (y su representante, si lo tiene, y datos de contacto)
  • Los datos para contactar con el Delegado de Protección de Datos (si lo hubiera)
  • Los fines para los que se tratarán los datos, y la base jurídica que lo ampara
  • Si la base jurídica es el interés legítimo (spoiler: en un blog, difícil), cuál es ese interés
  • Los destinatarios a los que se comunicarán o enviarán los datos
  • La intención si la hubiera de realizar transferencias internacionales, a dónde y, si es un país no seguro, qué medidas y garantías de seguridad aplican

Si pones atención, la mayor parte de las leyendas en formularios de contacto de los blogs que se han puesto ya las pilas incluyen esta información. Ahora bien, hay que decir más cosas. Y no solamente de forma resumida, sino ampliada.

 

🔓 De qué (también) debemos informar (II)

Además, para que el tratamiento sea leal y transparente, se debe informar de:

  • El plazo durante el que se conservarán los datos o los criterios para determinarlo
  • El derecho a solicitar acceso, rectificación, supresión y portabilidad de los datos, además de limitación y oposición al tratamiento
  • La existencia del derecho a retirar el consentimiento en cualquier momento
  • El derecho a presentar una reclamación ante la AEPD si considera que sus derechos han sido vulnerados
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles

La elaboración de perfiles es un asunto complejo y hasta problemático, pero para hacerte una idea piensa en las entidades bancarias que deniegan o aceptan la concesión de un crédito en función del expediente de la persona, o ciertas estrategias de retargeting y segmentación del mercado. Eso son ejemplos de decisiones automatizadas que afectan a la vida de las personas.

 

🔓 Cómo informar adecuadamente a los interesados fuera del blog

Ahora bien, con todas estas cosas que debemos decir, ¿cómo pretende el Reglamento que me quepa todo antes del botón de enviar del formulario? Pues bien, no lo pretende exactamente así.

Para cumplir con el deber de informar, la Agencia Española de Protección de Datos recomienda utilizar un sistema “de doble capa”. Esto quiere decir que primero le decimos a la persona lo básico, y ya si desea ampliar la información porque no tiene claro si darnos sus datos, le ofrecemos la información ampliada.

Debes informar a las personas tanto en el blog, estrictamente hablando, como a las personas físicas cuyos datos personales trates fuera. Por eso es interesante que puedas incluir cláusulas informativas en tus contratos de prestación de servicio si los tienes, en la firma de tu correo electrónico, en la respuesta a las personas que te mandan el CV

Y para ver cómo puedes cumplir con este deber de informar dentro del blog, debes ir al Requisito #6 (¡pero no te pierdas el #5, también es obligatorio!).

 

🔴 Requisito #5. Contratos con encargados del tratamiento

A ver, esto es para leer despacio. A mí me costó un poco la primera vez:

En el artículo 28 del RGPD se establece que, cuando se solicite la prestación de un servicio a una entidad, servicio para el cual se deba hacer uso de los datos personales que “son” del responsable, se debe firmar un contrato con dicho prestador del servicio, que actúa como encargado del tratamiento.

Y esto, en cristiano, ¿qué significa? Que la asesoría que hace las nóminas de tu trabajador (te presta un servicio y accede a datos que son tu responsabilidad) tiene que tener un contrato de encargado del tratamiento contigo.

Significa que tu CM, al acceder a los datos de tus seguidores en redes sociales, también lo tiene que tener. Que tu hosting, tu proveedor de servicio de newsletter, tu diseñador web… si acceden a tus datos, también.

Grábatelo: debes regularizar tu relación a través de un contrato con todas aquellas entidades que tengas una relación para la cual sea necesario que accedan a los datos personales de los cuales eres responsable,

Y no solo eso, debes asegurarte de que tus encargados cumplen con el RGPD. Y si no lo hacen, deberías dejar de trabajar con ellos.

Sorry, what?

 

🔓 Asegurarse de que el encargado del tratamiento cumple con el RGPD

El asunto de asegurarse de que los encargados cumplen con el RGPD (artículo 28.1 del Reglamento) tiene como objetivo expandir rápidamente la cultura de la privacidad por la que aboga la normativa. Si no puedes trabajar con x proveedor porque no cumple el RGPD, el proveedor pierde clientes, ergo se adapta o muere.

Pero, ¿cómo me aseguro yo de que mi hosting, por ejemplo, cumple con el RGPD? Pues de distintas formas:

  • Pidiéndole la información directamente (aquí agradecerás trabajar con un hosting con un servicio de atención al cliente decente)
  • Consultando sus políticas de privacidad (aunque esto puede no ser suficiente)
  • Comprobando si están adheridos a algún código de conducta o esquema de certificación en privacidad aprobado por la AEPD

Ten en cuenta que los encargados del tratamiento están obligados por la normativa a seguir instrucciones del responsable, salvo que el derecho de la UE o de cada país miembro diga lo contrario.

Esto es así en teoría, pero en la práctica muchos proveedores de hosting han incluido sus contratos de protección de datos en sus condiciones del servicio, y se dan por aceptadas si lo contratas.

Esto no va demasiado en línea con el espíritu del RGPD, pero esta es una de las situaciones problemáticas que genera la época de cambio que estamos viviendo; asimetrías entre grandes y pequeños que, confiemos, se irán aclarando poco a poco.

🔹 Esta guía ya es muy larga y quedan 3 requisitos. Si quieres saber cuál es el contenido que debe tener un contrato con un encargado del tratamiento, puedes consultar las Directrices de la AEPD en este enlace, y si quieres que te cuente más cosas de ellos, házmelo saber.

 

🔴 Requisito #6. Política de privacidad y otros textos legales

He dejado aparte la Política de privacidad y los demás textos legales como un requisito propio por dos razones:

  • Corresponden a contenido de tu página, no a cuestiones “internas” de tu actividad (económica o no)
  • Pueden verse afectados por otras leyes, como la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI), o Ley 34/2002.

 

🔓 Los textos legales: cuántos y cuales

La respuesta a cuántos y cuáles son los textos legales de una web depende del tipo de web. Las opciones más elementales son:

  • Política de privacidad
  • Política de cookies
  • Aviso legal
  • Condiciones de contratación

Un blog de marca personal, por ejemplo, deberá tener solamente las tres primeras, pero si tienes un ecommerce u ofreces consultoría o infoproductos en tu página, deberás tener también unas condiciones de contratación bien claritas.

 

🔓 La Política de privacidad

La Política de privacidad es la página dentro de tu blog que contiene la información ampliada sobre protección de datos que es obligatoria según el Requisito #4 de esta Guía.

Mientras las leyendas que se ponen al pie de los formularios ofrecen la información condensada, la Política de privacidad debe ofrecer la información más detallada.

Ahora bien, ¿cómo hago una buena política de privacidad? En ese post encontrarás todo lo que necesitas. Y hablo también de por qué la nueva LOPD parece exigir que digamos menos todavía en las leyendas de los formularios. Pero…

🔹 Por ahora, si quieres saber bien de qué va el sistema de información “por capas” con una reducida y una ampliada, o cuál es el contenido de esta segunda capa, échale un ojo a la Guía para el cumplimiento del deber de informar de la AEPD.

🔹 También tienes un informe de la AEPD de agosto del año pasado sobre Políticas de privacidad y su adaptación al RGPD en este enlace, si lo quieres consultar.

 

🔓 La política de cookies

Con la política de cookies, por otro lado, tenemos que tener en cuenta las indicaciones de la LSSI, Ley 34/2002. Sí, has leído bien, la ley es de 2002 y aún hay blogs sin un aviso de cookies decente.

El tema de las cookies es algo complicado y sigue en desarrollo. Además, no es homogéneo en la Unión Europea: mientras la Agencia Española de Protección de Datos se inclina por una cosa, la italiana se inclina por otra…

En teoría, en este 2019 la AEPD debería publicar también una Guía para el uso de cookies donde debería describirse exactamente cómo tenemos que hacer para ser proactivos y transparentes y leales y todas las demás cosas que debemos ser al gestionar la privacidad de otros.

 

🔓 Aviso legal y condiciones de contratación

El aviso legal dependerá también de lo que indica la LSSI. Qué se hace con los enlaces, qué responsabilidades tiene el usuario, cuáles el gestor de la web, quién es, cuáles son sus datos de contacto… Esta información debe ser comunicada de forma obligatoria desde 2002 en todos los portales que se relacionen con una actividad económica.

Y con esa actividad económica puede venir también la necesidad de establecer unas condiciones de venta o condiciones de contratación, según proceda. Su contenido y las leyes específicas que apliquen dependerán de cuál sea la actividad de tu web en cuestión.

Normalmente los blogs no tendrán condiciones de contratación o serán sencillas, pero para este requisito asegúrate de que contactas con un buen especialista en derecho digital.

Por cierto, por si lo estás pensando, sí puedes colocar toda la información de los textos legales en una única página. Ahora bien, debe quedar claro para el usuario que ahí es donde encontrará la Política de privacidad, la de cookies y todo lo demás.

 

🔴 Requisito #7. Mecanismos para garantizar los derechos en privacidad

Ya casi no queda nada, un par de requisitos más y terminamos esta Guía para cumplir con el RGPD en tu blog. Vamos con los derechos que reconocen el RGPD y la nueva LOPD.

Para aclararnos: con la Carta de los Derechos Fundamentales de la UE la privacidad se define como un derecho fundamental. Esto quiere decir que los tenemos solamente por nuestra condición de ser seres humanos. El derecho a la privacidad, además, también aparece en la Constitución Española.

Pero, dentro del RGPD, se reconocen una serie de derechos específicos en materia de privacidad. Y, como responsable, tienes que asegurarte de que tienes mecanismos para que las personas cuya información manejas puedan ejercerlos.

 

🔓 Los derechos que se reconocen en el RGPD

En la LOPD antigua (la L.O. 15/1999) se reconocían los derechos ARCO (acceso, rectificación, cancelación y oposición). En el RGPD estos derechos siguen siendo reconocidos, aunque al derecho de cancelación se le llama supresión, pero se reconocen algunos más.

En total, los derechos que se reconocen en el RGPD son:

  • El derecho de acceso a los datos (artículo 15)
  • El derecho de rectificación de los datos (artículo 16)
  • El derecho de supresión de los datos o derecho al olvido (artículo 17)
  • El derecho a la oposición a que los datos sean tratados (artículo 21)
  • El derecho a la limitación del tratamiento (artículo 18)
  • El derecho a la portabilidad de los datos (artículo 20)

Además, como ya hemos visto más arriba se reconoce el derecho a retirar el consentimiento en cualquier momento, a presentar una reclamación ante la AEPD si se considera que los derechos han sido vulnerados, a ser notificados cuando se rectifiquen, supriman o limiten los datos…

 

🔓 Qué mecanismos aplicar para garantizar los derechos

Pero en este requisito teníamos que hablar de establecer mecanismos para garantizar que los interesados puedan ejercer sus derechos.

¿Cuáles son esos mecanismos? Pues pueden variar. Algunas personas y empresas tienen una serie de formularios preparados por si alguien les comunica que quiere ejercer alguno de los derechos. En su Política de privacidad tienen indicado cómo proceder, y si tienen Delegado de Protección de Datos, esta figura hace de enlace entre la organización y las personas.

Tener unos formularios quizá sea la opción más sencilla en el caso de un blog. Se guarda una copia del formulario de solicitud del derecho en cuestión cuando la persona realice dicha solicitud, y se le entrega copia. Luego se resuelve la solicitud y se entrega un formulario de contestación, dejando constancia de cómo se ha tramitado y qué ha implicado para la privacidad del usuario.

Otras personas tienen áreas de cliente en sus webs, o sistemas de respuesta automática. La cuestión estriba en adaptar nuestros recursos a la situación concreta, sabiendo que siempre debemos ser capaces de dar una respuesta a la solicitud de ejercicio de los derechos en el plazo máximo de un mes.

Además, no todos los derechos son aplicables en todos los casos. Por ejemplo, el derecho de rectificación de los datos personales no se aplica sobre la imagen grabada por una cámara de videovigilancia (qué hacemos, ¿te grabamos otra vez?). Por eso, para poder garantizar los derechos en privacidad, primero debemos conocerlos.

🔹 Por cierto, la LOPD nueva es en realidad LOPDGDD, porque su nombre completo es Ley Orgánica de Protección de Datos y garantía de los derechos digitales. Que la “garantía de los derechos digitales” se escriba con minúscula (y el resto del nombre, no) parece una declaración de intenciones, porque de acuerdo con el propio preámbulo (IV) de la LOPD(gdd), estos derechos deberían tener el rango de constitucionales. Esto implica un procedimiento algo distinto de añadirle un Título más a una Ley Orgánica pero oye, cosas que pasan. Así que por lo pronto, vamos a dejar el tema de los derechos aquí y ya hablaremos “de los digitales”.

 

🔴 Requisito #8. Procedimientos frente a una quiebra de seguridad

Llegamos al gran fantasma de este Reglamento: la quiebra de seguridad.

Si has leído mi post sobre los 7 mitos en protección de datos y marketing digital, ya sabrás que nadie se salva del riesgo de una quiebra de seguridad.

Pero, ¿qué es una quiebra de seguridad? Pues una quiebra de seguridad es toda aquella situación que afecta a la confidencialidad, la integridad o la disponibilidad de los datos personales de forma negativa. Concretamente, según el Considerando 83 del RGPD (recuerda, un Considerando es un criterio interpretativo que va antes que los artículos propiamente dichos):

  • la destrucción, pérdida o alteración accidental o ilícita de los datos,
  • una comunicación o acceso no autorizados a los datos

Todo ello cuando, en particular, se ocasione daños y perjuicios físicos, materiales o inmateriales. ¿Eso puede ocurrir? Pues… sí, sigue leyendo.

 

🔓 Obligaciones en el caso de que ocurra una quiebra de seguridad

La obligación más inmediata cuando ocurre una quiebra de seguridad es la de notificar a la Agencia Española de Protección de Datos, según el artículo 33 del RGPD, sin retrasarse de forma “indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella“.

Ahora bien, no todas las quiebras de seguridad deben ser notificadas a la AEPD. De hecho, después del entrecomillado anterior, el artículo 33.1 del RGPD sigue: “a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

(Sí, la traducción oficial disponible del RGPD en castellano utiliza violación de seguridad en vez de quiebra. En documentos institucionales posteriores de la AEPD y del INCIBE se prefiere el uso de quiebra frente a violación, ya sabes, por aquello de la semántica.)

Ojo, que si la quiebra es de tal naturaleza que el riesgo de afectar a los derechos y las libertades de las personas cuya información es tratada es improbable, la notificación no es obligatoria. Claro, que si es probable que haya un riesgo… deberás notificarla.

¿Significa esto que si en un blog tenemos solamente el email y el nombre podemos pasar de las quiebras de seguridad? Eh, no.

 

🔓 Prepararte ante una quiebra de seguridad

Si vuelves a la definición de quiebra de seguridad, recordarás que hay tres características que la definen: una quiebra tiene lugar cuando los datos no se conservan íntegros o dejan de ser confidenciales o de estar disponibles.

¿Qué harías si de repente pierdes todos tus suscriptores por un error en la plataforma? ¿Y si se te cruzan los nombres y los emails y ya no puedes enviar newsletters personalizadas? ¿Cómo afectaría eso a tu audiencia, a tu sistema de monetización?

Imagina ahora que, en lugar de eso, alguien compra un dominio muy parecido al tuyo y se hace con los datos de tus suscriptores porque accede a tu cuenta de Mailchimp, por ejemplo. Los importa y empieza a mandar información desde un correo con una extensión muy similar, haciéndose pasar por ti.

Todo ello se podría prevenir o resolver garantizando la integridad, confidencialidad y disponibilidad de los datos. Desde hacer copias de seguridad hasta tener contraseñas robustas de acceso a tus servicios, pequeñas acciones podrán marcar la diferencia entre la continuidad de tu blog, o su muerte digital.

Y todo ello, fíjate, aunque no sea obligatorio para ti que notifiques nada.

Además, ¿qué harías si metes la pata al diseñar y se te cae el diseño, o expones tus vulnerabilidades? Rezar por el correcto funcionamiento de la última copia de seguridad, supongo. Yo lo he hecho.

Aplicar medidas preventivas puede ayudarte a reducir el nivel de riesgo (Requisito #3) y a resolver la situación de forma satisfactoria sin molestias para nadie si te enfrentas a una quiebra de seguridad. Todo ello, siguiendo una checklist.

Descubre tus riesgos y protege la información de los usuarios de tu blog. Créeme, te lo agradecerás. Y cuanto antes empieces, antes empezará a formar parte de tu día a día.

🔹 Quizá quieras consultar la Guía para la gestión y notificación de las brechas de seguridad de la AEPD y el INCIBE.

 

🔴 CHECKLIST

Este es el último paso de la Guía. Espero que te resulte interesante:

 

Requisitos RGPD Blog + checklist
Checklist de cumplimiento de los requisitos que exige el RGPD en tu blog

 

 

Estos son los requisitos que debes tener en cuenta a la hora de saber cómo cumplir con el RGPD en tu blog. Como seguramente te estés imaginando, cada requisito da para una Guía en sí misma, pero espero que esta Guía para cumplir con el RGPD en tu blog te haya servido para aclararte un poco sobre los requisitos que debes cumplir legalmente.

No obstante, puede ser que necesites cumplir alguno más; por ejemplo, si tienes trabajadores en nómina, deberás comunicarles la información sobre sus obligaciones y cómo gestionas sus datos, además de respetar las obligaciones específicas que impone en materia laboral la LOPD.

Sin embargo, eso encajaría más bien en cómo debe cumplir una empresa con el RGPD, y es materia para otro post.


⚠️ Recuerda que este artículo tiene una información genérica y que tu blog puede tener particularidades que no encajen con lo dicho aquí. Además, la simplificación puede conllevar pérdida de información relevante. Por eso, consulta siempre a un profesional experto en protección de datos. La finalidad de este blog es únicamente hacer la protección de datos más comprensible para las personas que no están familiarizadas con el tema y no constituye consejo legal de ningún tipo.


En definitiva, espero que esta guía te haya sido útil y que hagas uso de ese checklist.

Seguro que te ha surgido alguna duda. ¿Hablamos?

 

14 comentarios en “Guía para cumplir con el RGPD en tu blog + CHECKLIST”

  1. Que bueno Noe, con lo difícil que es el tema en cuestión para los que no sabemos y lo bien explicado que está.
    Me declaro fan absoluta de tu blog a partir de ya mismo, que yo con los temas legales me pierdo muchísimo la verdad.

    Gracias por la información tan completa.
    Un saludo!

    • Muchas gracias, Eva. La verdad es que es muy importante que la privacidad sea accesible a las personas que desarrollan su actividad en el marketing digital, y a todos los ciudadanos en general. Me alegro mucho de que te haya servido, y bienvenida 🙂

  2. Hola Noemí ¡!¡
    Vaya pedazo de artículo, decirte que un tema tan delicado lo has hecho fácil y ameno¡!¡
    Lo leeré muy despacito para comprobar si mi reciente blog cumple todos los requisitos.
    Muchas gracias por el aporte.
    Enhorabuena
    Un abrazo

  3. No me han llegado los 7 mintutos de descanso de antena 3 para leerlo jaja pero me gustó mucho sobre todo por la sencillez en la que das explicado temas tan delicados.
    Un abrazo grande

  4. Enhorabuena Noemi por este pedazo de post, una guía necesaria en la que nos ofreces todos los requisitos necesarios para cumplir con la RGPD de nuestro blog de una manera sencilla.

    Me ha gustado mucho como abordas el tema para que las personas que no somos especialistas en el área lo podamos entender. Sin duda, aclaras muchos conceptos esenciales.

    Para cualquier duda sobre aspectos legales en mi blog o en las webs que gestiono ya sé dónde recurrir.

    Anoto tu web, en breve me pondré en contacto contigo, es un tema esencial que no podemos olvidar y un tratamiento profesional, de calidad y eficaz es imprescindible.
    Gracias por regalarnos tanto conocimiento.

  5. Espectacular lo que has hecho Noemí, Isa se ha quedado corta en definirlo como un trabajazo, está genial, me ha quedado claro todo (y estaba en cero con este tema) mil felicidades y que sigan los éxitos!

  6. Esto es lanzar a lo grande. ¡Que buen post y que necesario sobre todo! Vaya currazo te has pegado, este post es para guardarlo y tenerlo de guía para todos los que nos dedicamos al mundo blogger, sea de una manera profesional o amateur. DE verdad mi más sincera enhorabuena.
    Un abrazo.

  7. Increíble el trabajazo que tiene este post Noemí, me ha encantado.

    De verdad pienso que era super necesario tener algo así, porque es un tema muy importante y del que no todos tenemos conocimiento y control. Muchas gracias por aportar tanto valor.

    ¡Enhorabuena compañera, sigue así!

Deja un comentario

Información sobre protección de datos
Responsable: Noemí Carro Sánchez Finalidad: Gestión de comentarios de la web Legitimación: Consentimiento de quien comenta Destinatarios: Ninguno, salvo obligación legal y Wordpress Derechos: acceso, rectificación, supresión, portabilidad de los datos, oposición y limitación del tratamiento, retirar el consentimiento, presentar una reclamación ante la AEPD Contacto: contacto@noemicarro.es Más información: Política de privacidad