Adecuación de los formularios de datos al nuevo reglamento europeo

El de los formularios de suscripción y de petición de datos de los usuarios es un asunto delicado por las implicaciones de protección de datos que tiene. Además, desde mayo del año pasado, ha entrado en vigor un periodo de transición de dos años para el nuevo reglamento de protección de datos al que nos tenemos que adaptar en mayo de 2018.


Imagen de Blue Coat Photos

Reglamento 2016/679

El reglamento 2016/679 de la UE que sustituye al Reglamento General de Protección de Datos vigente hasta ahora. El nuevo Reglamento habla de consentimiento informado y de política de protección de datos. En su punto 32 dice:

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

En el 39:

Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.

En el punto 70:

Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al margen de cualquier otra información.

Su artículo 7 dice sobre el consentimiento:

  • Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
  • Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
  • El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
  • Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

El reglamento es mucho más amplio y esto no es un blog de derecho, sino de diseño, así que os dejamos estas citas para que les echéis un vistazo y si necesitáis más información sobre los cambios, consultad con un abogado especializado 😉

Adaptación del diseño de nuestros formularios de datos o de suscripción a la nueva normativa

Tenemos todavía un año para adaptarnos a la nueva normativa que entra completamente en vigor en mayo de 2018, pero eso implica que en los nuevos rediseños que se hagan este año es recomendable pensar en cumplir ya con la nueva normativa, sobre todo para no tener que rediseñar este año y en abril del año que viene tener que cambiar los formularios de datos en el último momento.

Para adecuar nuestros formularios a la nueva normativa tienen que tener dos cosas:

  1. Que el usuario dé su consentimiento expreso
  2. Que se le informe de cómo, dónde y quién va a guardar los datos
  3. Que sea tan fácil darse de baja como darse de alta

De estos tres puntos, actualmente en casi todos los casos el tres suele cumplirse con mayor o menor acierto.

Os vamos a poner un ejemplo de un formulario de datos ya adaptado y que sus autores han diseñado de acuerdo a la nueva normativa europea. Han consultado con un abogado, ya que son un despacho de abogados 😉 El formulario es el típico formulario de recogida de leads a cambio de un e-book, una acción básica de marketing online en cualquier página profesional o de negocios.


Captura de un formulario de leads de Ribas Casademont Advocats

Uno de los puntos de la nueva normativa es que los datos que se recojan sean limitados, es decir que sólo se recojan los que sean necesarios para la prestación del servicio. En el caso de un lead será necesario un correo electrónico y un nombre para dirigirse a la persona.

Como ya os hemos dicho, el usuario debe de dar el consentimiento expreso, es decir, el usuario debe hacer clic y decir que quiere que se guarden su datos y conocer la política de privacidad y la identidad de la entidad que lo hace. La forma más sencilla de hacer esto es, como en el caso que os mostramos, poner un checkbox con un enlace a la política de privacidad.

Como podéis ver en su política de privacidad, explica de manera fácil quiénes son, qué hacen con tus datos, qué datos guardan en las cookies, en las redes sociales y en más sitios.

De todos los formularios que hemos investigado para redactar el post, éste es el que mejor cumple los tres puntos que contiene el nuevo reglamento, tanto en el formulario como en su política de privacidad, y además es un formulario sencillo y usable.

El único pero sería que en la política de privacidad debería hacerse un trabajo de selección y priorización algo mayor que el que se ha hecho (que está bien al poner los datos de la entidad en primer lugar), pero puede que desborde a los usuarios menos avezados y con pocos conocimientos sobre cookies, complementos, seguridad, etc…

Desde el Estudio os recomendamos: consultar con un abogado que os diga si cumplís o no la nueva directiva de protección de datos y os ayude con la parte legal de un rediseño de formularios de datos y usar el ejemplo que os hemos dado para inspiraros, que aunque no es perfecto os puede servir como base mínima de cumplimiento de la nueva normativa europea que entrará en vigor en mayo de 2018.

En Torresburriel Estudio apoyamos el rediseño de tu producto digital con un proyecto de acompañamiento donde aplicamos metodologías de diseño centrado en el usuario. Contacta con nosotros y cuéntanos tu proyecto. Te enviaremos una propuesta adaptada a tus necesidades y presupuesto.

Comentarios

  1. Me ha parecido interesante, aunque algo espeso. Pero es lo que tienen las leyes, las hacen espesas y farragosas. Igualmente, yo entiendo que los sistemas que incluyen un correo de confirmación también cumplirían con el consentimiento expreso. El 3 también suelen incluirlo por defecto la mayor parte de sistemas de suscripción. El 2 es el que considero un poco más problemático, especialmente para autónomos que trabajamos desde casa, ya que este tipo de cosas nos obligan a exponer públicamente información delicada. Pero bueno, igualmente, entiendo que aunque lo suyo es hacer lo posible por cumplir todo en lo posible, tienes muchas más posibilidades de tener problemas si andas estafando gente o suscribiendo les a servicios de pago de telefonía como ha ocurrido a veces, que si tienes una suscripción para tu blog o pides el email para comentar… Al menos en España de momento que yo sepa no te andan persiguiendo por estas cosas sin motivo. En Alemania si que tengo entendido que hay despachos de abogados que se dedican a andar urgando a ver quien no cumple.

  2. Samuel Gimeno Artigas , 17 de abril de 2017, 13:00

    El caso de un correo de confirmación, es uno de los casos por los que ha cambiado la normativa Taisa, eso es una confirmación tácita (yo te lo envío y si no te borras es que lo quieres recibir).

    Es decir, puedes haber dados tus datos en una web y que la empresa lo haya metido en su base de datos de leads por cualquier acción de marketing online y a partir de ahí que te empiecen a enviar una newsletter no deseada al dar tu consentimiento (al aparecer la casilla marcada por defecto o no haberla).

    En el caso de la nueva ley, te tienen que informar para qué van a ser usados los datos y su posterior tratamiento, almacenamiento y uso, además la casilla no puede estar activada por defecto, como era lo habitual hasta ahora, por lo que será más difícil que tus datos sean usados libremente.
    Es un matiz no menor que introduce la nueva ley.

    Las leyes son farragosas, pero a veces es necesario conocerlas mínimamente y, por ello hemos metido todo en un punto para que sea fácil hacer scroll tanto en el escritorio como en el móvil, además de poner los puntos importantes y no las 88 páginas del reglamento.

Deja tu comentario

*