Cabe señalar, que la normativa de protección de datos, debes cumplirla con independencia de qué en plataforma o alojamiento tengas el blog o en qué país se encuentre alojado, puesto que estás tratando con datos personales de ciudadanos de la UE y siempre es de aplicación la normativa de protección de datos.
Cómo adaptar tu blog al RGPD en 6 pasos
A continuación, vamos a explicar cómo adaptar tu blog al RGPD en 6 pasos esenciales. Esta guía es válida para cualquier tipo de blog, independientemente de la plataforma que uséis para alojarlo.
- ¿Blog personal o blog corporativo?
Lo primero que debemos hacer es diferenciar entre un blog personal y un blog corporativo (el blog normalmente alojado en la página web de una empresa, que se emplea para generar contenido de interés y valor añadido para los usuarios y clientes de la empresa) o blog profesional (empleado por autónomos y freelance para dar a conocer su trabajo y buscar nuevos clientes).
¿Por qué esta diferenciación? Básicamente, porque un blog personal es muy probable que trate menos datos personales de sus usuarios que un blog corporativo o profesional; por ejemplo, en el blog personal puede que solo se requieran datos como un nombre a la hora de dejar comentarios, si estos están habilitados, mientras que un blog corporativo o profesional tendremos formularios de contacto en los que solicitar nombre, email y/o teléfono.
Además, otra diferencia está en la obtención de beneficios económicos directos o indirectos a través del blog. Es posible que un blog personal tenga alguna clase de rendimiento económico gracias a la publicidad, pero hay muchos blogs que prescinden de ella. En el caso de un blog corporativo o profesional, responden a una actividad comercial, por lo que directa o indirectamente generan beneficios económicos para su titular. Esta distinción tiene implicaciones respecto a algunas de las obligaciones legales que un blog debe cumplir en materia de protección de datos y de LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
- Elaborar los textos legales
Una de las obligaciones del RGPD que ineludiblemente debes cumplir en tu blog es cumplir con el principio de transparencia, que significa que tienes que informar a tus usuarios (los interesados) de todo lo relacionado con el tratamiento de sus datos (identidad el responsable del tratamiento, finalidad del tratamiento, legitimación, plazo de conservación de los datos, empleo de cookies, etc.).
Esta información se suministra a través de los textos legales web y cualquier blog, sea personal, corporativo o profesional, debe tenerlos, puesto que, como dijimos en el primer apartado, basta con tratar la dirección IP o emplear alguna cookie, para tener que adaptar el blog al RGPD.
En concreto, estos textos legales son:
- Política de privacidad, al que suministraremos la siguiente información:
-
- Identidad y datos de contacto del responsable del tratamiento
- Finalidad del tratamiento
- Destinatarios de los datos
- Transferencias internacionales de datos (si procede)
- Plazo de conservación de los datos
- Información sobre derechos ARSULIPO y reclamación ante la AEPD
- Información sobre las decisiones individuales automatizadas (si procede)
- Política de cookies, dónde informaremos sobre el uso de cookies, qué son las cookies y sus tipos, cómo rechazarlas y facilitaremos una lista con las cookies que usa nuestro blog, con la siguiente información:
-
- Nombre de la cookie
- Titular
- Duración
- Tipo de cookie
- Finalidad
- Aviso legal, que deberán llevar aquellos blogs que respondan a una finalidad comercial (blogs corporativos o profesionales) o a través de ellos se obtengan beneficios económicos directos o indirectos (publicidad o patrocinios, lo que puede incluir a blogs personales), sirve para informar de:
-
- Datos registrales (nombre o denominación social, NIF, registro mercantil, etc.)
- Términos de uso de la web (propiedad intelectual o industrial, responsabilidades, enlaces, etc.)
Además, de estos textos, si utilices tu blog para la venta de algún producto o la contratación online de algún servicio, también deberás redactar e incluir los términos generales de contratación o venta.
Para crear una política de privacidad y el resto de textos legales, debes crear una página individual para cada uno de ellos, que cuelgue de la URL principal (por ejemplo, www.miblog.wordpress.com/politica-privacidad), que debe ser accesible desde cualquier sección de tu blog, por lo que normalmente, se coloca un enlace a la misma en el footer. En los blogs, se pueden crear páginas o subpáginas para publicar cada uno de los textos legales y, a través de un widget, enlazarlos en el footer, de manera que siempre estarán accesible y localizables (si tienes un blog en WordPress puedes encontrar en su página más información)
Para los que utilicéis plataformas de blogging gratuitas (como Blogspot o WordPress), aunque deberéis crear y enlazar la política de privacidad (y, en su caso, el aviso legal), respecto a la política de cookies y el aviso de cookies, la suministrará la propia plataforma, aunque si usáis otras cookies, deberéis hacer el correspondiente texto.
Finalmente, cabe señalar que estos textos legales web son lo que denominamos segunda capa de información, lo que quiere decir que hay una primera capa, que tratamos en el siguiente paso.
3.- Gestión de la recogida de datos
En aquellos blogs que recogen datos personales, como, por ejemplo, a través de formularios de contacto, botones de suscripción, comentarios, etc., es necesario tanto contar con el consentimiento de los interesados para recoger y tratar sus datos, como informarles sobre el tratamiento de sus datos. Esto también es de aplicación para las cookies.
Puesto que incluir toda esa información que debe ir en los textos legales en estos elementos de recogida de datos sería inviable, se recurre a la citada primera capa de información. Se trata de un texto en el que de forma breve y esquemática se ofrece la información básica sobre privacidad y se proporciona un enlace a la política de privacidad. Tal y como podéis ver en el ejemplo:
¿Te gustan mis artículos? Te los mando al mail |
Tu nombre: |
Tu correo: |
⊗ He leído y acepto la política de privacidad
|
Primera capa de información |
Responsable: ENTIDAD SL Finalidad: gestión de suscripciones. Legitimación: consentimiento del interesado. Destinatarios: se comunicarán los datos de Mailchimp para gestionar las suscripciones al blog como plataforma de envio de boletines. Derechos: tienes derecho a acceder y suprimir los datos, así como otros derechos, como se explica en la información adicional. Información adicional: puedes consultar la información adicional y detallada sobre la Política de Privacidad y Protección de datos en el siguiente enlace. |
Para recabar el consentimiento en este tipo de elementos, se debe incluir una casilla de aceptación desmarcada, como veis en la imagen.
Respecto a las cookies, esta primera capa de información se corresponde al aviso de cookies o banner de cookies. Este aviso cumple con una doble función, por un lado, informar básicamente sobre las cookies que emplea el blog, incluyendo un enlace a la política de cookies. Y, por otro lado, bloqueando la instalación de las mismas en el navegador de los usuarios hasta que estos los aceptan (o mantenerlas bloqueadas sin son rechazadas). Es decir, el aviso de cookies también se emplea para recabar el consentimiento para el uso de las mismas.
Como hemos dicho, si usáis plataformas gratuitas para alojar vuestro blog, el aviso de cookies lo pondrá la plataforma. Para los blogs corporativos o profesionales, este aviso deberéis hacerlo e implementarlo vosotros (existen plugins que os facilitarán esta labor, incluso si no tenéis muchos conocimientos técnicos).
Lo ideal sería que vuestro aviso incluyera un botón para aceptar cookies, y otro para configurarlas de manera individual. Os dejamos un ejemplo de muestra:
BANNER POLITICA DE COOKIES
Esta página web utiliza cookies propias y de terceros para fines analíticos y mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus datos de navegación. Si desea aceptar todas las cookies debe pulsar “Aceptar Cookies”, o puede pulsar “Ajuste Cookies” para rechazarlas o configurarlas. Para más información puede visitar nuestra Política de Cookies
|
Ejemplo de aviso de cookies para blog.
4.- Registrar el consentimiento
Como cumplir con el RGPD en el blog implica demostrar que cumplimos con sus obligaciones, es necesario que el consentimiento de los usuarios para el tratamiento de sus datos quede registrado. Para ello deberemos usar herramientas o plugins que generen este tipo de registros (una vez más, las principales plataformas de blogging cuentan con estas funciones a través de complementos para el cumplimiento del RGPD).
Además de registrar el consentimiento, también deberemos ofrecer una vía para su revocación sencilla y automática. Esta podemos facilitarla a través del envío de una comunicación para validar el correo electrónico utilizado en un formulario o caja de suscripción (que además, es un método conocido como doble opt-in, que permite verificar los contactos).
Así mismo, en cualquier comunicación que enviemos a nuestros usuarios o suscriptores, deberemos incluir una coletilla de protección de datos al final del email (puede hacerse con la firma), que incluirá la información de la primera capa informativa y un enlace para darse de baja o revocar el consentimiento dado.
5.- Revisar qué herramientas y plugins usa tu blog
Es muy probable que en tu blog emplees herramientas y plugins de terceros con los que gestionarás datos personales, por ello, debes asegurarte de que sus desarrolladores o titulares cumplen también con el RGPD (especialmente si son de fuera de la UE o sus servidores están fuera de la UE, porque entonces estaría realizando una transferencia internacional de datos).
Además, con ellos y con cualquier otro servicio online al que cedas datos personales, deberás formalizar un contrato de encargado de tratamiento (o, como mínimo, firmar un acuerdo de adhesión). En este contrato se especifican las condiciones y responsabilidades del encargado respecto al tratamiento de datos personales cedidos o a los que tiene acceso.
6.- Gestión de derechos ARSULIPO
Finalmente, deberás facilitar una vía para que los interesados puedan ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición). Esta vía suele ser una dirección de email.
Como responsable del tratamiento deberás gestionar estas solicitudes y responderlas en tiempo y forma (con carácter general, dispones un mes de plazo para responder). Y si deniegas estos derechos, debes hacerlo de forma justificada y motivada. Así mismo, indicarás que los interesados pueden reclamar ante la AEPD.