Cómo añadir correctamente el ‘checkbox’ para aceptar la política de privacidad

checkbox para aceptar política de privacidad

Una de las cosas que requiere el Reglamento General de Protección de Datos es el consentimiento explícito de los usuarios a la hora de recopilar sus datos personales. La manera más sencilla de hacerlo es incluyendo un ‘checkbox’ para aceptar la política de privacidad de nuestra web, en la que estarán detallados los datos que se recopilan y con qué finalidad.

Sin embargo, es muy importante que ese ‘checkbox’ cumpla con las especificaciones legales para que cumpla con RGPD y que los datos que recopile puedan ser usados legalmente.

Tienes que tener en cuenta que, dependiendo de las herramientas que utilices para construir tu web, cambiará el modo de configurar el ‘checkbox’ y que incluso puede venir preinstalado con todos los requisitos.  

A continuación vamos a especificar los requisitos que tiene que tener un ‘checkbox’ para aceptar la política de privacidad.

Paso a paso: esto tienes que hacer para poner el ‘checkbox’ para aceptar la política de privacidad

Lo primero que tenemos que tener en cuenta es que el RGPD requiere una acción positiva para consentir el tratamiento de los datos personales, por lo que el ‘checkbox’ para aceptar la política de privacidad no tiene que estar marcado por defecto, sino que debe ser el usuario quien lo marque.

Además, junto al ‘checkbox’ se tendrá que incluir una explicación de la finalidad del tratamiento, qué datos se recopilan y para qué. También tendremos que incluir un enlace a nuestra Política de Privacidad.

Una última cosa muy importante a la hora de crear nuestro ‘checkbox’ para aceptar la política de privacidad: debe guardar los datos –día, hora, dirección IP- del consentimiento, de forma que se pueda probar en el caso de que nos reclamen.

¿Es imprescindible el checkbox para aceptar la política de privacidad?

Esto dependerá del tipo de datos de recopiles y con qué finalidad. Si la recopilación de datos está amparada en el interés legítimo, no sería necesario incluir ese checkbox para aceptar la política de privacidad.

Tenemos que tener en cuenta que el hecho de dar al botón de enviar ya se considera una acción positiva. Si los datos que recopilamos de los usuarios no tienen más fin que el de responder a las preguntas que nos hagan desde el formulario de contacto, la acción de enviar es suficiente para probar que el usuario quería una respuesta, por lo que no es necesario.

Este es el caso de ÉGIDA. Como podrás comprobar si accedes a este link, en nuestro formulario de contacto no se incluye un ‘checkbox’ para aceptar la política de privacidad. No obstante, sí informamos del tratamiento de datos y enlazamos al texto en el que se especifica que el único uso que se va a dar a los datos es el de responder al cliente.

Sin embargo, si aparte de dar respuesta a los formularios de contacto quisiéramos crear una base datos con los teléfonos o emails de quienes contactan con nosotros, a fin de poder enviar ‘newsletters’ u ofertas comerciales, sí que tendríamos que incluir un ‘checkbox’ para que el usuario acepte la política de privacidad y consienta así el tratamiento comercial de sus datos.

¿Qué son los derechos ARCO?

derechos arco

Los llamados derechos ARCO se recogen en las normativas de protección de datos. Originariamente eran cuatro: Acceso, Rectificación, Cancelación y Oposición, aunque el Reglamento General de Protección de Datos añadió con su entrada en vigor en 2016 dos más: el derecho de limitación y el derecho de portabilidad, con lo que los derechos ARCO pasaron a ser un total de seis.

Los derechos ARCO son derechos personalísimos. Esto quiere decir que solo pueden ser ejercidos por el titular de los datos o su representante. Cualquier solicitud legal hecha por otra persona podrá denegarse.

Una característica importante de los derechos ARCO es que deben poder ejercerse de forma sencilla y gratuita, con medios a cargo de la entidad o persona responsable de los datos. Además, el ejercicio de estos derechos debe solucionarse en un plazo determinado.

La persona que ha ejercido uno de los derechos ARCO puede acudir a la Agencia Española de Protección de Datos si piensa que no ha sido atendido en tiempo y forma correctaw por los responsables del tratamiento.

Derechos ARCO: Acceso, Rectificación, Cancelación, Oposición, Limitación y Portabilidad

A continuación, podrás comprender qué es cada uno de los derechos ARCO, así como los datos imprescindibles para su ejercicio.

Derecho de Acceso

Se trata del derecho a obtener información sobre los datos de carácter personal que están siendo objeto de tratamiento y su finalidad, así como de dónde proceden y qué se ha hecho o se va a hacer con ellos.

Para solicitar el acceso, simplemente hay que ponerse en contacto con el responsable del tratamiento, que tendrá que dar una respuesta en un plazo de 1 mes.

Derecho de Rectificación

En esta ocasión, es el derecho del titular de los datos a que se modifiquen aquellos que sean inexactos o incompletos. Para ejercer el derecho de rectificación, solo hay que indicar qué datos hay que modificar y la corrección, junto a la documentación que lo justifique. Debemos esperar respuesta en los siguientes 10 días hábiles.

Derecho de cancelación

De este derecho emana el derecho al olvido o derecho de supresión. Se trata del derecho a que se supriman los datos inadecuados o excesivos. Para ejercerlo, hay que aportar documentación que justifique la cancelación de los datos y, en el caso de que sea denegado, se puede recurrir ante la AEPD.

Derecho de oposición

Es el derecho a que no se traten los datos o a que cese el tratamiento. Este derecho solo puede ejercerse en tres supuestos: o bien que el consentimiento no sea necesario, bien que se trate de ficheros de prospección comerciales o bien tengan la finalidad de adoptar decisiones basadas en el tratamiento automatizado que afecten al usuario. Al igual que en el caso del derecho de rectificación y de cancelación, el plazo de respuesta e de diez días hábiles.

Derecho de limitación

Este derecho supone que el afectado puede solicitar la limitación del tratamiento de sus datos personales. Este derecho supone que los datos personales solo pueden ser tratados por interés público, para el ejercicio o defensa de reclamaciones y para proteger los derechos de otra persona física o jurídica.

Derecho de portabilidad

Este derecho implica que el responsable del tratamiento puede transmitir los datos al usuario o a otro responsable, siempre que el tratamiento se lleve a cabo por medios automatizados. El derecho de portabilidad no se aplica cuando la transmisión es técnicamente imposible, cuando afecta negativamente a los derechos de una tercera persona ni cuando el tratamiento tiene interés público.

Todo lo que necesitas saber sobre los códigos de conducta RGPD

códigos de conducta rgpd

A la hora de adaptar los mecanismos de protección de datos al nuevo Reglamento europeo, es posible que nos hayamos topado con los códigos de conducta RGPD. Aunque los códigos de conducta ya estaban recogidos por la antigua ley (LO 15/1999), bajo la denominación de ‘códigos tipo’, el Reglamento General de Protección de Datos acepta una mayor flexibilidad e incluye varios cambios.

¿Qué es un código de conducta RGPD?

El código de conducta se recoge en el RGPD y facilita que las entidades de una organización puedan crear códigos de cumplimiento de acuerdo a sus necesidades es particulares. Se trata de  un mecanismo cuyo objetivo es la correcta aplicación del Reglamento General de Protección de Datos.

La creación y posterior adhesión a un código de conducta RGPD es voluntaria. Sin embargo, implica la presunción de cumplimiento con el Reglamento General de Protección de Datos, por lo que es ventajoso tener uno de ellos adaptado a la empresa o sector.

¿Cómo puedo crear un código de conducta RGPD?

Un código de conducta RGPD es un documento que debe ser aprobado por la autoridad de control, que en el caso de España es la AEPD.

Requisitos de los códigos de conducta RGPD

Los códigos de conducta tienen que especificar la aplicación del Reglamento General de Protección de Datos al respecto de los siguientes aspectos:

  • Tratamientos leales y transparentes
  • Intereses legítimos de los responsables
  • Recogida de datos         
  • Seudonimización de datos personales
  • Información proporcionada al público y a los interesados
  • Ejercicio de los derechos de los interesados
  • Información proporcionada a los niños y la protección de estos
  • Medidas y procedimientos de privacidad por defecto y privacidad por diseño
  • Medidas para garantizar la seguridad del tratamiento
  • Notificación de violaciones de la seguridad de los datos personales
  • Transferencia de datos personales a terceros países y organizaciones internacionales
  • Los procedimientos extrajudiciales

Cómo aprobar tu código de conducta RGPD

Para que se apruebe un código de conducta, hay que presentar el proyecto a la autoridad de control competente. Como ya hemos dicho, en España se trataría de la Agencia Española de Protección de Datos.

Será la AEPD quien determine si el proyecto (o en su caso, la modificación o la ampliación) es conforme a lo que establece el Reglamento General de Protección de Datos. También será quien, en su caso, lo aprobará, registrará y publicará el código.

Además, si el código de conducta RGPD puede aplicarse en varios estados miembros, la AEPD presentará su proyecto al Comité Europeo de Protección de Datos. Una vez se compruebe que es conforme al Reglamento y ofrece las garantías adecuadas, se presentará a la comisión, quien le dará publicidad.

¿Qué ventajas tiene adherirse a un código de conducta RGPD?

Como ya se ha mencionado, la adhesión a un código de conducta RGPD  implica la presunción de cumplimiento con el Reglamento General de Protección de Datos. Además, haciéndolo se asegura un mayor nivel de cumplimiento y una imagen corporativa más segura.

Otra ventaja a tener en cuenta es que estar adherido a un código de conducta RGPD puede hacer que se reduzcan las sanciones impuestas por incumplimiento.

Modelo consentimiento Whatsapp: ¿Cómo puedo crear legalmente un grupo de WhatApp?

protección de datos whatsapp

Es una acción cada vez más habitual: creamos un grupo de whatsapp, agregamos a las personas que nos interesan –o pedimos que lo hagan- y comenzamos a chatear. Sin embargo, lo que surgió como una manera de facilitar la conversación entre amigos, ha terminado sirviendo para para multitud de usos, con grupos de hasta 256 personas. Y aquí es donde la protección de datos y Whatsapp chocan. ¿Es legal que me metan en un grupo de Whatsapp sin mi permiso?

En primer lugar tenemos que diferenciar entre los grupos pertenecientes privados y los grupos públicos. No habría ningún problema de protección de datos si el grupo fuera de los primeros, ya que el RGPD no se aplica en la esfera personal y doméstica. Se trataría de los grupos familiares o de amigos, donde todos los miembros se conocen.

El problema de privacidad viene entonces cuando es un grupo público, en el que no conocemos a todos los participantes.

Whatsapp y la protección de datos

Cuando nos añaden a un grupo de Whatsapp, todos los miembros tienen acceso a nuestro número de teléfono móvil (considerado un dato de carácter personal) y nuestro ‘nickname’ (el nombre que le hemos dado a whatsapp para nuestra cuenta. Dependiendo de nuestra configuración de privacidad, también podrían ver nuestra foto de perfil.

Es por ello que añadir a una persona en un grupo de Whatsapp sin su consentimiento puede ser sancionable con hasta 300.000 euros de multa.

¿Cómo podemos crear un grupo de Whatsapp legal?

Dependerá mucho del tipo de grupo que queramos crear. No es lo mismo añadir miembros al grupo de padres del cole que crear un grupo para la difusión de ofertas comerciales o la organización de un macroevento.

En cualquier caso necesitaremos el consentimiento de la persona a la que vamos a añadir al grupo. Este puede obtenerse tanto de manera informal como de manera formal, dependiendo del contexto. Podemos enviar un mensaje a los otros padres del cole para preguntarles si les parece bien, pero en la organización de un macroevento será necesario un consentimiento firmad donde se especifiquen las condiciones del tratamiento.

En este sentido, WhatsApp ha facilitado la tarea, creando enlaces para unirse a grupos que dejan el poder de decisión en manos del usuario, de modo que cuando se une al grupo en el chat aparece el método mediante el cual se ha unido. En este caso, no es necesario contar con el consentimiento.

Sin embargo, para los casos en los que sí es necesario, os dejamos aquí un resumen de los requisitos que debe tener el consentimiento.

Consentimiento para añadir personas a un grupo de WhatsApp

  1. Debe quedar claro qué datos se van a compartir con los usuarios del grupo.
  2. Debe especificarse la finalidad del grupo.
  3. También tiene que aparecer el día en el que se otorgó el consentimiento.
  4. Es recomendable que se especifiquen datos sobre quién ostenta el papel de administrador y quién es el responsable del grupo.

Cumpliendo esos tres requisitos, tendremos un consentimiento perfectamente válido para añadir a personas a un grupo de WhatsApp cumpliendo con la protección de datos y de forma completamente legal.

Protección de datos usando Mailchimp + GUIA

protección de datos usando mailchimp

Uno de los sistemas más utilizados para la creación de newsletters y soluciones de marketing digital es Mailchimp. Sin embargo, ¿cumple Mailchimp con la ley de protección de datos? Con la obligada aplicación del Reglamento General de Protección de Datos (RGPD), son muchas las preguntas que nos pueden surgir en relación al marketing digital y al buzoneo online.

Tener las herramientas adecuadas es muy importante, y por suerte Mailchimp cumple con la ley de protección de datos, dando facilidades a sus usuarios para que cumplan con los requisitos del RGPD.

Pero empecemos por el principio.

¿Qué es Mailchimp?

Mailchimp es una de las herramientas más famosas para realizar ‘email marketing’. Gracias a Mailchimp, fácilmente se pueden crear formularios de alta en tu web, gestionar listas de correo, personalizar mensajes, enviar campañas de marketing o viralizar contenido, entre otras muchas funciones.

Y, ¿por qué nos interesa utilizar Mailchimp? Porque es una herramienta muy efectiva para vender por Internet y obtener suscriptores, además de ser muy sencilla e intuitiva para trabajar. Gracias a Mailchimp, podemos hacernos con una base de datos con potenciales clientes a los que enviar nuestro contenido publicitario

Mailchimp y la ley de protección de datos

Sin embargo, almacenar los datos de contacto de esos potenciales clientes podría traernos problemas si no se hace de acuerdo con el RGPD. ¿Nos ayuda Mailchimp a cumplir con la ley de protección de datos? La respuesta es sí, pero con reservas.

Para cumplir con el RGPD, Mailchimp pone a disposición de los usuarios formularios de suscripción aptos para el RGPD y una opción de doble consentimiento para recopilar contactos. Sin embargo, es trabajo de cada usuario asegurarse de que en la redacción del formulario se reflejan con exactitud las actividades de marketing que va a llevar a cabo y de incluir el uso de Mailchimp en la Política de Privacidad de la web. A continuación daremos las pautas básicas para asegurar que usamos Mailchimp de acuerdo a la Ley de Protección de Datos.

Guía: Mailchimp y el RGPD

  1. Obtén el consentimiento de los usuarios. Los formularios de suscripción de Mailchimp específicos para el RGPD tienen opciones específicas para cumplir con la normativa europea. Úsalos para asegurarte de que tienes el consentimiento de acuerdo con la ley.
  2. Activa la doble confirmación. Este paso adicional permite verificar cada dirección de correo y hacerte con una base de datos segura.
  3. Exporta tus contactos. Mailchimp guarda la fecha, hora y dirección IP en la que ser rellenó el formulario.
  4. Haz una captura de pantalla de tu formulario de contacto. Esto te ayudará a demostrar que has descrito con exactitud para qué se han recogido los datos.
  5. Puedes hacer que tus suscriptores tengan que marcar obligatoriamente una casilla para que al menos te concedan un permiso de marketing a la hora de suscribirse.
  6. También es posible que importes a Mailchimp contactos que ya te hayan dado su consentimiento fuera de este servicio.
  7. Recuerda que es muy importante que incluyas que usas Mailchimp en la Política de Privacidad de tu web, así como especificar en tu declaración de cookies aquellas que usan tus servicios de Mailchimp.