¿Sabes si la web de tu negocio cumple con la ley de protección de datos?

Hace prácticamente un año y medio que los autónomos deberían haberse adaptado definitivamente al -ya no tan nuevo- Reglamento General de Protección de Datos (RGPD). Entró en vigor el pasado 25 de mayo de 2018 e introdujo una serie de cambios a la hora de tratar los datos de los clientes y, en general, cualquier usuario de la web.

A pesar del tiempo transcurrido se siguen cometiendo determinados errores que, por supuesto, tienen castigo.  La Agencia Española de Protección de Datos impone sanciones que pueden alcanzar los 20 millones de euros -, por infringir voluntaria o involuntariamente el RGPD. Por esta razón, es muy recomendable que cualquier emprendedor se tome las molestias de comprobar que su negocio está al día con la ley y no está cometiendo ninguno de estos errores.

La llegada del RGPD ha supuesto un cambio en la concepción de la seguridad de los datos en los negocios, pero también en la forma en la que se recogen los datos y consentimientos de los usuarios. “Todo ello ha tenido una considerable influencia en muchos ámbitos, entre los que se encuentran las páginas web”, señalaron desde Sage. No obstante, muchos autónomos siguen sin adaptar su página web, extensión online de su negocio, a las demandas del nuevo Reglamento.

“La realidad es que el RGPD es muy complejo y afecta a muchas áreas. Las organizaciones se han centrado en diferentes aspectos, como recoger consentimientos, pero otros -igual de importantes- han quedado en el olvido. La página web es una de ellas y se suelen cometer diferentes errores que, por supuesto acarrean sanción”, explicó la empresa de soluciones de contabilidad.  Orientar al autónomo y empujarle a que tome las medidas oportunas pasa por sacar a la luz los errores más comunes. SAGE hizo una lista con los nueve  fallos más frecuentes a la hora de gestionar los datos en la web de tu negocio.

Nueve errores en la gestión de datos en la web del negocio

-La aceptación de las cookies. 

Este error se postula como uno de los más frecuentes. Según explicaron desde Sage, los usuarios deberían aceptar el uso de cookies de forma proactiva y expresa. Sin embargo, muchos de ellos mantienen la opción de ‘seguir navegando’ para dar su consentimiento, algo que no basta con la entrada en vigor del nuevo Reglamento. Debe tener acceso a la web aunque la mayoría -excepto las cookies estrictamente necesarias- hayan sido rechazadas.                       

- Finalidad de las cookies. 

No basta sólo con aceptar o rechazar, hace falta dejar claro para qué se instalan las cookies de tu página. La información tiene que dejar al usuario 'blanco sobre negro' la finalidad de estas herramientas de seguimiento; qué está consintiendo si las acepta;  además, de ser posible aceptar o rechazarlas, sin perjuicio a su navegación.

-El 'peaje' de seguir navegando.

Normalmente, se da por supuesto que cuando el usuario acepta la opción de ‘seguir navegando’ es porque ha dado su consentimiento para la recogida de datos personales. En realidad, y aunque muchos no lo saben, esto incumple la normativa vigente. De nuevo, el visitante de la web debe aceptar expresamente el uso de sus datos. Aún es más, debe ser fácil para el usuario cambiar de parecer y retirar el consentimiento.

-Políticas de privacidad incomprensibles.

Es el problema de muchas web, el RGPD deja bien claro que las políticas de privacidad deben expresarse en un lenguaje comprensible para todo el mundo sin necesidad de tener conocimientos jurídicos ni estar acostumbrado a manejar tecnicismos. “El problema es que esta política la redacta un abogado y -como es habitual en este gremio- se utilizan tecnicismos que restan claridad a la información”. Ante esto, la solución sería “traducir” del experto a un lenguaje más coloquial.

-Formularios web, suscripción o registro. 

Muchas webs obligan al usuario a registrarse para publicar comentarios. La petición de consentimiento debe ser explícita, inequívoca, bien informada y, sobre todo, verificable. Este último aspecto es importante, porque el autónomo tiene que demostrar que el usuario dio su consentimiento. De no ser así, puede acabar haciendo frente a una sanción económica.

-Aplicación del derecho al olvido y la portabilidad de los datos.

Esto no sólo entra en conflicto con el RGPD, sino que también está previsto en el derecho informativo. Entran en juego los derechos denominados como ARCO ( De Acceso, Rectificación, Cancelación y Oposición). Esto quiere decir que cuando el usuario lo desee, todos sus datos personales deben poderse borrar sin problema.. Además, todos los consentimientos dados deben estar registrados como documentación del cliente.

-Medidas de seguridad adecuadas.

Especialmente en el caso de uso de gestores de contenido, que en muchas ocasiones no están actualizados y presentan importantes brechas de seguridad. El negocio debe contar con un protocolo de actuación ante los casos de crisis del tratamiento de datos. “Esto se realizará estudiando las posibles situaciones de crisis, los efectos y las medidas a tomar para solventarlos. En el caso de darse una crisis de tratamiento de datos, deberás saber cómo actuar frente a la ley, las autoridades y las personas damnificadas que han cedido los datos”, explicaron desde la empresa.

-Establecer sistemas periódicos de control.

El autónomo debe establecer un sistema de control que se aplique periódicamente. Este sistema debe permitir recuperar los datos y el funcionamiento de la web si existiese algún problema.

-Alojamiento de la web fuera de la UE. 

En muchas ocasiones, los negocios alojan su sitio web fuera de las fronteras españolas, dentro de la Unión Europea. A veces, no cumplen con las medidas de seguridad o requisitos para la protección de datos que impone el RGPD. Hay que tener claro si el hosting de nuestra página cumple con dicho reglamento, y de no ser así, modificarlo.