Reglamento General de Protección de Datos: ¿Está la web de tu negocio preparada?

¿Sabes esos partidos en los que, a falta de pocos minutos para el final, un equipo que pierde no para de meter balones al área y manda arriba a sus centrales para ver si consiguen rematar alguna? ¿O cuando a la desesperada el portero sube en un córner? No pretendemos ser alarmistas, pero si todavía no has adaptado la web de tu bar o restaurante al Reglamento General de Protección de Datos (RGPD o GDPR, en inglés), debes saber que estás en una situación parecida a ese equipo.

Y es que este nuevo reglamento entra en vigor el próximo 25 de mayo, por lo que si no has empezado a modificar ciertos aspectos de tu web, a partir de esa fecha estás sujeto a sanciones que pueden llegar ¡hasta los 20 millones de euros! O, en otras palabras, lo que cobra por temporada el séptimo futbolista mejor pagado del mundo -el brasileño Hulk- o lo que ha pagado el Atlético de Madrid por uno de los jugadores revelación de esta temporada, Rodri, del Villarreal.

El GDPR: una aproximación teórica

Si todavía no has oído hablar de él, te estarás preguntando qué es el GDPR. Se trata de una normativa de la Unión Europea con la que se quiere regular, todavía más, la protección de los datos personales. Dicho de otra forma, rasita y al pie: si tu empresa maneja datos personales de clientes (porque tienes formularios en tu web, porque les envías una newsletter, porque guardas los datos de sus reservas online…), esta normativa te afecta.

Si bien entró en vigor el 25 de mayo de 2016, es el próximo 25 de mayo cuando será de obligado cumplimiento. Estas son las novedades más relevantes:

  • Protección de los datos del usuario: raza, datos genéticos, ideología, afiliación sindical…
  • Avisos de privacidad: deben ser fácilmente entendibles, esto es, estar escritos de manera entendible y sencilla, sin rebuscadas fórmulas legales.
  • El consentimiento del usuario para seguir recibiendo comunicaciones por tu parte o para inscribirse y para rellenar un formulario en tu web debe ser explícito y claro.
  • Obligatoriedad de fines. Esto significa que, si recogiste los datos para un fin concreto, no puedes utilizarlos con otros objetivos.
  • Derechos del usuario: entre otros, el Derecho al Olvido -los usuarios pueden pedir que se borren sus datos si ya no se necesitan para el propósito para el que los dieron- o el Derecho de Portabilidad -podrá solicitar sus datos al responsable del tratamiento en un formato válido para trasladarlos a otro proveedor de servicios-.
  • Fallos de seguridad: si detectas un fallo de seguridad en tu web que pueda poner en peligro la privacidad de los datos de los usuarios, deberás comunicarlo a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas.

Como ves, no va a hacer falta una sesión de vídeo, como hacen los entrenadores, para comprender la importancia y el alcance de esta nueva normativa.

Sí que es necesario, y mucho, trabajar la táctica. Es decir, ver cómo aplicar todos estos cambios a tu web. Toma nota, porque son varios los apartados que deberás modificar, entre ellos:

  • Política de Privacidad y Política de Cookies: como antes comentábamos, su redacción tiene que ser muy clara e, importantísimo, el usuario tiene que aceptarlas de manera explícita, por lo que deberás incluir un call to action o checkbox de aceptación que, bajo ningún concepto, deberá estar pre-marcado. Esto sería como un futbolista que juega con tacos que no son redondos, totalmente ilegal.

Estos apartados deberán incluir: quién es el responsable de la gestión de esos datos personales, qué datos se recogen y el plazo de conservación de los mismos, el objetivo o finalidad de los datos recogidos o el derecho del usuario a rectificación y supresión, entre otros.

  • Formularios: deben incluir la aceptación de la Política de Privacidad (debe además estar enlazada), el consentimiento expreso del usuario y un resumen del tratamiento que se dará a los datos.
  • Textos legales. el usuario debe poder acceder a ellos desde todas las secciones de la web. En este sentido, nuestra recomendación es bastante sencilla. Inclúyelos en el footer de tu web, que siempre está visible. De este modo evitarás complicaciones.

Para echarte una mano con todos estos cambios -y el resto-, la Agencia Española de Protección de Datos ha habilitado diversas guías y enlaces prácticos que podrás consultar en esta web.

Tus newsletters, en peligro

Y no precisamente por un virus en tu correo electrónico o porque la plataforma de envíos haya decidido empezar a cobrarte o subir los precios.

Es tu base de datos la que realmente está en peligro, y sin base de datos, no hay a quién enviar una newsletter. Sería como basar la estrategia en tirar centros al área pero jugar sin delanteros.

Desde el próximo 25 de mayo, no podrás impactar con comunicaciones comerciales en tu base de datos si no tienes el doble opt-in de los usuarios. ¿Qué es esto? Veamos dos ejemplos:

  1. Un cliente llega a tu bar y deja en un papel su nombre y correo electrónico para inscribirse en la porra que estás organizando y enviarle cada semana los resultados y clasificación. Y ya que tienes el email, aprovechas para mandarle tu newsletter mensual, donde presentas las novedades en el menú o los partidos que vas a retransmitir en el bar.
  2. Un usuario entra en tu web y rellena un formulario para inscribirse en tu newsletter. Deja sus datos. A partir de ese momento, lo incluyes en tu lista de distribución. Al fin y al cabo, se ha inscrito motu proprio.

Con la entrada en vigor del GPRD, ninguno de los dos supuestos sería legal, pues no ha habido una doble validación del contacto (doble opt-in). Y es que aunque se ha suscrito voluntariamente, no ha confirmado que desee recibir comunicaciones por tu parte.

Para conseguir este doble opt-in, debes cambiar el proceso de validación de tus contactos: una vez se hayan inscrito desde un formulario (validación 1), deberán recibir un email que incluya un enlace donde confirmen que, efectivamente, quieren recibir esas comunicaciones (validación 2).

Y, si te lo estabas preguntando, efectivamente es una medida retroactiva, por lo que para cumplir con la nueva normativa, debes conseguir la doble validación en tus contactos anteriores si estos no la tienen. ¿Cómo? Nuestra recomendación es que les envíes, lo antes posible, un email en el que incluyas lo siguiente:

  • Asunto explícito del contenido del email. Por ejemplo: “Importante: Necesitamos tu consentimiento para cumplir con el GDPR” o “Urgente: Cambio en la Política de Privacidad”.
  • Breve introducción explicando que, debido a la nueva normativa de carácter europeo, necesitas el consentimiento para poder seguir enviándoles novedades, ofertas, programación, newsletters mensuales o, si lo haces, para poder seguir felicitándoles la Navidad o el cumpleaños.
  • Un call to action o enlace donde acepten, de manera explícita, que sigas enviándoles comunicaciones. Este enlace deberá llevar a una página de confirmación y agradecimiento donde esté vinculada la Política de Privacidad adaptada.

Como ves, se trata de un reglamento con muchas aristas. Y si la obligación de cumplimiento fuese un partido, estaríamos ya en el descuento.

Día de la madre
Previous post
#DíaDeLaMadre: Un homenaje a las madres deportistas
Calendario
Next post
Calendario final de temporada: Los partidos que llenarán tu bar
Back

Widget Support

SHARE

Reglamento General de Protección de Datos: ¿Está la web de tu negocio preparada?

© 2016 Vodafone España S.A.U. Avda. América 115, 28042 Madrid