¿Te imaginas tener una web que genere ingresos mes a mes?

Quiero ayudarte a que lo consigas, tengas los conocimientos que tengas. Para ello solo tienes que pulsar el siguiente botón y ahí empezará nuestro camino para hacerlo posible.

Todos los pasos para cumplir con el nuevo reglamento de protección de datos – RGPD

Piensa en eso que te suponía un gran esfuerzo, te quitaba horas y horas… pero cuando lo terminaste y ya no tuviste que volver a ello, sentiste una gran liberación…

¿Lo has pensado? ¿Se te ha ocurrido algo?

En mi caso, una de esas cosas, era cuando tenía que realizar cada tres meses los temas de declaración de impuestos y todo lo que requiere ser autónomo en este país.

Son ese tipo de cosas que no disfruto nada, que me ponían de mala leche, y que me restaban totalmente la energía, aunque fuera unas 4 o 5 horas que tenía que dedicar cada tres meses.

Pero lo bueno, y la suerte que tenemos, es que curiosamente (lo siento Raúl 😉 ), hay personas que disfrutan con ello, y hacen ese trabajo por nosotros.

Y no solo por quitarme ese trabajo de encima, sino porque es algo que requiere una dedicación contínua. No nos lo ponen fácil para emprender, y mucho menos en el tema legal.

Constantemente hay cambios de los que tenemos que ser conscientes, y que si no los llevamos a cabo de una forma correcta, nos podrían suponer problemas.

Por suerte yo ahora cuento con Raúl Florido. Tanto él como su equipo, me llevan toda la parte fiscal y temas legales.

Eso ha hecho que en estas últimas semanas haya estado muy en contacto con ellos debido a todo el revuelo que hay.

Seguramente lo habrás escuchado, ya que se habla mucho de la famosa RGPD… y de los cambios que entran en vigor el 25 de Mayo del 2018, es decir, ¡en nada! (según cuando estés viendo este post, claro…).

Pero ¿Qué es eso? ¿qué cambios me supone en mi blog? ¿qué podría pasar si no estoy bien atento y los implemento en mi negocio?

Como a mi no me gusta hablar de lo que no entiendo, he traído al mismo Raúl Florido para que nos lo cuente.

Voy a interrumpirle varias veces para aportar esa parte práctica, ese paso a paso que tendréis que realizar en cada uno de los cambios que incluye este cambio en la legislación. Ya sabes que me gusta que no te quede ninguna duda sobre el tema, y menos a la hora de que puedas ponerlo en práctica así que nos apoyaremos en imágenes y vídeos para que no quede ninguna duda.

Es algo importante. Algo a lo que tenemos que hacer caso, porque de otra forma podríamos tener problemas con lo duros que se están poniendo últimamente con estos temas.

Ya sabes la que le está cayendo a Facebook a día de hoy…

Llegados a este punto, sin entretenerte más, te dejo con Raúl, que te contará lo que tendrás que saber si o si para asegurarte que tienes todo correcto en tu blog.

Si tienes un blog o un negocio digital donde recojas datos de carácter personal, grábate una fecha a fuego: el 25 de mayo de 2018, que por cierto está a la vuelta de la esquina.

Esta es la fecha en que entrará en vigor el nuevo Reglamento Europeo sobre protección de datos y todos los que tenemos webs deberemos cumplir con una serie de directrices que hasta ahora no eran necesarias.

Muchos me preguntan si tenemos que cumplir ya los nuevos términos o debemos esperar al día 25.  Mi consejo es que lo cumplas ya, o al menos que empieces a dar los primeros pasos.

Pero solo te podrían sancionar por incumplimientos del RGPD a partir de ese día, ya que nos encontramos en un periodo de “vacatio legis” en el que todavía no es obligatorio.

Y te preguntarás, ¿tan graves serán las sanciones? …

La respuesta es SI, y mi consejo que “no te la juegues”. Porque a consecuencia de la reforma han aumentado las sanciones por incumplimientos en materia de protección de datos y las sanciones pueden llegar hasta el 4% de la facturación. Así no es algo para tomar a la ligera…

Veamos entonces con detalle qué novedades nos encontraremos a partir del 25 de mayo.

Pero primero de todo… ¿Qué es el RGPD, la LOPD y toda esta historia?

Probablemente te suene todo un poco complicado…, pero son temas que debemos tener en cuenta los que nos encontramos dentro de la Unión Europea.

Para que puedas entenderlo, la LOPD es la Ley Orgánica de Protección de Datos de carácter personal actual, que seguro te suena, y como bien sabes es una ley española.

Con este nuevo reglamento de protección de datos aparece también una nueva figura de autoridad que velará por controlar su aplicación. Se trata de un órgano independientemente creado por cada estado miembro que garantizará el cumplimiento de la normativa.

¿Cómo afecta la nueva ley de protección de datos a los emprendedores digitales y qué medidas debemos implementar?

1.- Con el RGPD es necesario ampliar la información

Respecto a la obligación de información, tendríamos que hacer una comparativa con la LOPD actual y lo que se ha venido aplicando hasta ahora.

Hasta la fecha, esta información se hacía en una sola capa, por lo que básicamente venía a incluirse en la Política de Privacidad cierta información previamente a recoger los datos de carácter personal en los formularios de suscripción.

Con el nuevo Reglamento Europeo sobre Protección de Datos esta información previa a la recogida de los datos se intensifica y pasa a ser un tanto antiestética de cara al diseño.

Esta información se debe realizar en dos capas, algo parecido a lo que ocurre con las cookies con el típico aviso que nos encontramos al entrar en las webs.

¿Te suena?

Y en los formularios de suscripción, la AEPD nos recomienda hacerlo incluyendo un enlace de “+info”

Ahora, ese mensaje, habría que adaptarlo al formulario más o menos así:

(Este es un formulario real de Monetizados)

La información debe ser fácil de entender, clara, concisa y bien estructurada. Tratando de evitar al máximo el abuso de citas legales e historias que solemos meter los abogados (con lo que nos gustan las florituras legales …).

En definitiva, que cualquier persona pueda comprenderlo sin necesidad de mucho esfuerzo ni conocimiento.

La segunda capa, por tanto, es la Política de Privacidad propiamente dicha, donde se deberán recoger todos los aspectos que se establecen en el primer cuadro, y la cual ves que está enlazada desde el texto que hemos añadido debajo del formulario.

El resultado debería ser algo parecido a las políticas de privacidad de Monetizados.

2.- El nuevo reglamento de protección de datos exige un consentimiento expreso.

Igualmente vamos a ver una comparativa con lo que existían en la anterior Ley Orgánica de Protección de Datos y la reforma que se ha producido con el nuevo RGPD.

Con la antigua ley,  lo que existían eran dos tipos de consentimiento.

  • Por un lado existía el consentimiento tácito, que es aquel que se concede cuando se acepta algo sin necesidad de hacer ninguna manifestación, sino que se realiza mediante acto o acciones que así lo indican.
  • Y por otro lado el consentimiento expreso, aquel que se manifiesta verbalmente, por escrito o por signos inequívocos.

¿Cómo podemos traducir esto al mundo online?

El consentimiento tácito, sería aquel que se otorga por el mero hecho de conceder los datos de carácter personal sin necesidad de realizar ninguna otra acción, por ejemplo con todos estas cajas de suscripción que siempre han existido y un famoso asterisco con el que aceptabas las políticas de privacidad.

El consentimiento expreso, se otorga al hacer click aceptando estas políticas.

Por lo tanto, ya se acabó el presuponer el consentimiento, o tener casillas “premarcadas”, sino que además, se nos exige el poder acreditarlo.

Estamos hablando de un campo nuevo como el de la siguiente imagen, que tendrá que estar desmarcado por defecto, y tendrán que activar para poder suscribirse:

Por tanto, según el nuevo reglamento de protección de datos, a partir de ahora es obligatorio que nuestros formularios cumplan dos requisitos:

  • Una casilla de verificación para aceptar las políticas de privacidad. 
  • Doble opt in, es decir, ese correo que les llegará nada más suscribirse, donde tendrán un enlace/botón, para confirmar su suscripción. 

La mayoría se cuestiona la necesidad de este correo, por temas de conversión, obviamente.

Siempre pongo el mismo ejemplo:

imagina que un hater  se quiere suscribir a tu blog, y como correo electrónico, pone el de la Agencia Española de Protección de Datos (AEPD); al no haber “doble opt in”, le llegará tu autorresponder, o peor aún, correos comerciales que no ha solicitado, por lo que tu sistema de consentimiento estaría fallando, presentaría lagunas, y la sanción la tendrías a la vuelta de la esquina.

Esta es la forma de poder llevar a cabo y a buen puerto el consentimiento.

Este consentimiento debe ser específico, es decir, para un fin concreto que habremos establecido en nuestra información. Y debe ser verificable, es decir, que se nos exige la obligación de poder acreditarlo.

3.- El ámbito de aplicación del RGPD traspasa fronteras

Aquí viene una de las novedades más importantes con las que nos encontramos tras la reforma que entra en vigor recientemente.

Con la LOPD anterior, únicamente era de aplicación en países miembros de la Unión Europea. Pero a partir de mayo el ámbito de aplicación se amplía a todo el mundo. ¡Pero espera! que esto tiene su explicación…

Esto significa que  cualquier persona que trate datos de carácter personal de usuarios de la Unión Europea, se verá en la obligación de cumplir con el RGPD.

Por ejemplo, un colombiano que recoja leads de españoles, tendría que cumplir con el RGPD, y se le otorgaría potestad a la Autoridad de Control para reclamar y exigir ese cumplimiento.

Como veis, esto viene siendo algo serio, ya que se están ampliando las fronteras en cuanto a cumplimiento legal de la ley de protección de datos se refiere y empezarán a surgir convenios bilaterales entre países para exigir y perseguir esta obligación.

Entonces, los que estéis fuera de la UE os preguntaréis, ¿debo cumplir el RGPD o la ley de mi país?

Lo que viene a decir la norma es que tendrás que cumplir con el RGPD y nombrar a un representante en la Unión Europea que sea nexo de unión entre la Autoridad de Control, y tú.

No obstante, tendremos que dejar pasar un poco de tiempo para ver cómo se conjuga esta obligación, porque va a depender también de la cooperación entre diversos Estados, por lo que intuyo que a partir de ahora irán apareciendo convenios entre países y la Unión Europea para poder perseguir este tipo de conductas.

Por ahora no te alarmes porque es algo pendiente de desarrollar, y veremos cómo avanza, ya que técnicamente lo veo complicado de llevar a cabo.

En definitiva, deberás cumplir ambas normativas, es decir, la de tu país y la europea.

4.- Se debe incluir un aviso legal en los mails

También en los correos será necesario introducir una nota legal que informe al receptor del motivo por el cual lo está recibiendo y de la confidencialidad con que serán tratados sus datos.

Este es un ejemplo de texto que debería incluirse al final de cada mail:

“Estimado usuario, para mi es muy importante la privacidad, por ello, en cumplimento del nuevo RGPD te recuerdo que recibes este email porque te has suscrito de manera voluntaria a mi lista de correo electrónico. Tus datos se almacenarán en un fichero denominado “Usuarios Web y Suscriptores”, establecido en mi Registro de Actividades de Tratamiento, con la finalidad de enviarte correos electrónicos. Asimismo, te informo de que tus datos serán tratados con la mayor confidencialidad posible y que con tu aceptación estarías mostrando tu consentimiento a recibir correos electrónicos comerciales propios o sobre productos de terceros. En cada comunicación que recibas de esta web tendrás la opción de darte de baja de esta lista y revocar tu consentimiento”.

5.- Se debe realizar un registro de actividades para la Agencia Española de Protección de Datos

Como seguramente sabrás, actualmente existe la obligación de dar de alta un fichero a la AEPD para informar de los datos que recabamos en nuestro negocio.

A partir de ahora ya no será necesaria esta obligación, pero ello no significa que desaparezca por completo, sino que se sustituye por otra parecida.

En la actualidad, lo que tenemos que realizar o llevar a cabo es un registro de actividades de tratamiento donde la Agencia de Protección de Datos (AEPD), en su afán de facilitarnos las cosas y las tareas, ha creado una aplicación que se llama FACILITA.

Para poder continuar con la herramienta, tu actividad no se debe encontrar en ninguna de las categorías, por lo que si señalas en las 3 opciones “ninguno de los anteriores”, te dará paso a rellenar un formulario como este:

Continuaremos con una pantalla como la siguiente, donde tendremos que rellenar si captamos datos de potenciales clientes, es decir, si captamos leads, para luego rellenar qué datos, de donde se obtienen y si compartimos esos datos (espero que no). Éstas últimas características las rellenaremos marcando las casillas que al efecto se establecen.

Les seguirá haciendo preguntas, y finalmente acabaremos en una página como la siguiente:

Puedes aprovechar la herramienta para comenzar a realizar tu adaptación al Nuevo Reglamento Sobre Protección de Datos, donde nos creará de forma automática el registro de actividades de tratamiento.

No es más que hacer lo mismo que se hacía ante la Agencia Española de Protección de Datos pero registrado de forma interna, es decir, en tu propia documentación. Deberás establecer qué tipo de ficheros tienes, con qué finalidad los usas y durante cuánto tiempo los conservas.

Con esto se ahorran trámites burocráticos que antes se exigían, quedando la pelota en nuestro tejado en cuanto a cumplimiento se refiere.

Por tanto la herramienta FACILITA nos ayuda a “arrancar” con la Protección de Datos pero el documento que genera no es suficiente, tenemos que hacer también todos los textos que estamos viendo en este post.

6.- El RGPD exige modificaciones en los contratos con encargados de tratamiento

Es necesario hacer también retoques en este tipo de contratos.

En realidad, hay que establecer una serie de derechos y obligaciones que difieren de los que teníamos hasta ahora.

Pero, ¿quiénes son estos encargados de tratamiento?

Son aquellas personas que tienen acceso a los datos de carácter personal de nuestro negocio, y de nuestros clientes pero que no hacen uso de ellos, sino que únicamente los utilizan para las finalidades que tenemos encomendadas.

Por ejemplo, encargado de tratamiento podría ser nuestro gestor, que tiene acceso a los datos de los clientes para elaborar los impuestos, o un informático que revise nuestra web. Son personas que pueden tener acceso a esos datos pero que bajo ningún concepto podrán utilizarlos.

Tendríamos que rellenar el contrato estableciendo qué tipo de finalidades son las que se van a llevar a cabo mediante el tratamiento, y sobre todo, necesitamos  comprobar que se van a cumplir medidas de seguridad por parte del encargado de tratamiento.

De forma sencilla, ¿quieres saber cómo rellenar este contrato?. La Agencia Española de Protección de Datos (AEPD) ha elaborado una mega guía súper útil, échale un ojo porque viene bastante detallado. Al final se recoge un anexo que te puede servir de prototipo para realizarlo correctamente.

7.- Con el nuevo reglamento de protección de datos RGPD aparecen nuevos derechos

Con la Ley Orgánica de Protección de Datos actual tenemos los famosos “derechos arco” (Acceso, Rectificación, Cancelación y Oposición). A partir de ahora, con la reforma de la ley, aparecerán nuevos derechos.

Estos derechos serán:

  • check  El derecho a la portabilidad y no limitación del tratamiento 
  • checkEl derecho al olvido (que surgió tras una sentencia del tribunal de justicia de la Unión Europea contra Google).

Por lo tanto, tendremos que saber dar cobertura a estos derechos si es que nos lo solicitan nuestros clientes.

Igualmente, la Agencia Española de Protección de Datos tiene a tu disposición una infografía bastante dummie para entender los nuevos derechos:

8.- El RGPD no quiere “coletillas legales”

Con la aparición del RGPD y las nuevas exigencias en lo que a la información previa se refiere, deberás revisar las coletillas legales que tengas establecidas en contratos, o en tu firma de email.

Para que puedas entenderlo, en los contratos, deberás establecer la información previa o primera capa antes de la firma, la que hemos visto anteriormente en la imagen de la Agencia Española de Protección de Datos, para posteriormente en un anexo, dejar establecida toda la segunda capa de privacidad.

Antes se establecía un pequeño párrafo referente a la privacidad, y con eso era suficiente. Ahora como ves, se refuerza la información respecto a la protección de datos.

Igualmente, deberás de revisar tanto en el correo de confirmación o “doble opt in” un texto donde recuerdes para qué finalidad usarás los datos, quién es el responsable del fichero y cómo recogerás esos datos.

Este es un ejemplo de uno de los correos de doble opt in que manda Javi:

9.- Ahora es necesaria una doble confirmación de suscriptores

Otra de las medidas que necesitarás implementar es enviar un email a toda tu lista cuando modifiques la política de privacidad y crear una automatización mediante la cual, si no aceptan el consentimiento, desaparecerán de la lista.

Muchos se llevan las manos a la cabeza con esto y se preocupan pensando que todo esto afectará a la conversión. Es algo que me preguntan muy a menudo…

Mucho se oye al respecto de “the money is in the list”.

Pero piensa, ¿para qué quieres una lista de 5.000 contactos si al final ni la mitad te leen ni tampoco quieren comprarte?

Mi consejo es: aprovecha este email para hacer limpieza de tu lista de contactos y de camino cumple con el RGPD.

En este punto es importante que tengas clara una cosa… Yo mismo tendré que pedirte que aceptes la política de privacidad si estás suscrito en mi lista de emails.

Y por eso, he creado algo muy simple como lo que verás a continuación. Si no quieres que te esté mandando emails para este asunto en los próximos días, no pierdes nada en hacerlo en un segundo 😉

Solo tendrás que poner tu email con el que estás en mi lista, y aceptar la política de privacidad marcando la casilla y dando al botón 🙂

10. Notificación de incidencias a la Agencia Española de Protección de Datos

Siempre es recomendable tener previsto un plan para la gestión de crisis. Tenemos que adelantarnos a los posibles problemas o violaciones de seguridad en los datos que pudieran surgir, y en caso sufrir este tipo de contratiempo (por un hackeo, por ejemplo), deberás  informar a la autoridad de control antes de las 72 horas siguientes, y a los afectados, en los casos que la Ley nos lo exija.

Un ejemplo de violación de seguridad en los datos podría ser una pérdida o robo de datos de tus clientes y/o suscriptores, o si tuvieras tu base de datos en Dropbox, si fuera hackeada.

Pero ¿cómo notifico esta incidencia a la Agencia Española de Protección de Datos? Desde el siguiente enlace:

https://sedeagpd.gob.es/sede-electronica-web/

En el apartado “notificación preceptiva de quiebras de seguridad”.

En cuanto a medidas de seguridad, te aconsejo que de vez en cuando eches un vistazo a la página del Instituto Nacional de Ciberseguridad donde aportan mucha información y muy visual también.

No está de más decir que es importante que entre otras medidas de seguridad a cumplir, tu negocio online disponga de certificado SSL, sobre todo si se realizan transacciones económicas.

Seamos prácticos, ¿en realidad todo esto del RGPD sirve para algo?

Claro que sí, sobre todo porque nos exponemos a sanciones económicas muy importantes como ya has podido observar.

No miento si te digo que he tenido clientes que han tenido que echar la persiana por una sanción de 6 cifras.

Es una temática que está a la orden del día con sanciones sobre todo a grandes empresas, como puede ser Facebook o Whatsapp.

Facebook, por ejemplo, está solicitando consentimiento para recoger datos sensibles:

Google también ha hecho más de lo mismo con Analytics:

Los organismos públicos se están tomando muy en serio todo este tema relacionado con los datos de carácter personal pues no olvidemos que es un derecho constitucional que tenemos reconocido, como es el poder de control de nuestros datos personales.

A día de hoy, todos sabemos que los datos son oro puro, y cada día estamos a la caza y captura de ellos.

Por lo tanto, es necesario que exista un mecanismo que regule este mercadeo, aunque si bien es cierto, bajo mi punto de vista no debería de ser algo tan estricto.

No obstante piensa también, que por un lado nos encontramos con que es una obligación que tenemos cuando ejercemos nuestro negocio, pero por otro lado, es un derecho que tenemos cuando actuamos en calidad de consumidores.

La importancia del cumplimiento de las medidas de seguridad con el RGPD

Con el RGPD se ha dotado de mucha importancia a las nuevas medidas de seguridad, ya que debes estar alerta en todo momento y tener previsto un plan para la gestión de crisis.

Tenemos que adelantarnos a los posibles problemas o violaciones de seguridad que pudieran surgir, y debes saber que, en caso de sufrir este tipo de contratiempo, tenemos que informar a la autoridad de control antes de las 72 horas siguientes (en España es la Agencia Española de Protección de Datos), y al interesado, en los casos que la Ley nos lo exija.

Para ello, te aconsejo que de vez en cuando eches un vistazo a la página del Instituto Nacional de Ciberseguridad donde aportan mucha información al respecto.

No está de más decir que es importante que, entre otras medidas de seguridad a cumplir, tu negocio online disponga de certificado SSL, sobre todo si se realizan transacciones económicas.

Debemos cumplir con determinadas medidas de seguridad encaminadas a garantizar la conservación de los datos, restricciones de accesos con contraseñas, realización de copias de seguridad, etc.

¿Con los textos es suficiente para cumplir con el nuevo reglamento de protección de datos?

No, existen muchas obligaciones como habrás visto a lo largo del artículo, ya que  poner tres textos no te salvará de posibles sanciones.

La reforma del Reglamento no es más que un toque de atención para crear una política de empresa basada en el Cumplimiento Legal, que abarca mucho más que la Protección de Datos.

Debes ser consciente de que cumplir con la legalidad en un entorno digital no es solamente estar adaptado la Protección de Datos, como muchos piensan. Detrás de ello hay mucha más normativa que tendremos que tener en cuenta para estar 100% adaptados.

Resumiendo, ¿qué cumplimientos legales tendremos que tener en cuenta?

1.- Deberás cumplir con tus obligaciones tributarias.

Si vas a emprender un negocio online, tendrás que darte de alta en Hacienda en el epígrafe correspondiente para que puedas realizar facturas y cobrar por tu trabajo.También tendrás que darte de alta en la Seguridad Social como autónomo, pudiendo aprovechar la cuota bonificada de 50 euros que tenemos actualmente, eso sí, luego subirá a casi 270 euros al mes. Mi consejo es que te des de alta como autónomo aunque no llegues al Salario Mínimo Interprofesional, y si prevés que puedes tener un negocio más o menos estable a corto plazo.

2. Al tener un negocio digital, tendrás que cumplir con la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico.

Con esta Ley cumpliremos con las comunicaciones comerciales y sobre todo, evitar el SPAM, que se castiga fuertemente. En esta Ley, viene establecido cómo cumplir con las cookies, no existe una Ley como tal, sino que es el artículo 22.2 de la LSSI donde se regula.

3.- En el caso de crear un infoproducto o incluso si operas bajo t​​​​u marca, deberás cumplir con  la Ley de Propiedad Intelectual.

Con ello podrás registrar tu marca, por lo que tendrás una serie de derechos que te ampararán en determinadas situaciones.Igualmente, en caso de querer registrar el contenido de tu blog para que no sea copiado, también puedes hacerlo, para ello existe SafeCreative.

​​​​4.- Si vendes infoproductos deberás cumplir, con la Ley General para la Defensa de los Consumidores y Usuarios, donde se regulan los derechos y obligaciones tanto de empresarios como consumidores.

En resumidas cuentas, uno de los aspectos que más te afecta es que se regula todo lo referente a la devolución del dinero en caso de adquisición de bienes y servicios, cuando procede y cuando no, teniendo obligación de redactar unas condiciones de contratación, ya que una de las exigencias de esta Ley es el deber de información del “empresario”.

Aquí deberemos establecer quienes somos y donde nos encontramos, qué productos o servicios vendemos, qué precio tienen, cómo se puede contratar así como el idioma de contratación.

Bueno, no sé si serás como yo que todos estos temas me dan bastante pereza.

Durante estos días, iremos terminando de retocar todos los formularios, cambiando a doble opt-in los que no lo eran, etc. En definitiva, dejando todo a punto para la querida cita del 25 de Mayo.

Has visto ya las medidas que tendrás que tomar en emails en los formularios y demás… Y seguramente con las indicaciones que te he dado puedas llegar a implementarlas.

Si de todas formas te queda alguna duda, necesitas que se amplíe más la información de algún apartado en concreto, o cualquier cosa que te pueda ayudar, vamos a aprovechar que tendremos a Raúl pendiente por aquí para preguntarle todo lo que necesitemos.

Así que no te cortes y vamos a aprovecharnos en los comentarios de su sabiduría 😉

Pulsa aquí para dejar un comentario con alguna duda que haya quedado pendiente.

Si quisieras algo más a medida, alguna auditoria para la protección de datos, o alguien que estuviera encima de todo esto, o incluso se encargara por ti de asegurarte que tienes todo perfecto, también puedes contactar con Raúl a través de su web y estoy seguro que estará encantado de guiarte en lo que necesites o hablarte de los servicios que tiene por si quieres contratar la protección de datos.

Como he dicho arriba, es decisión, y responsabilidad de cada uno el asegurarse al 100% que cumple con la legalidad, y aún seguiremos un poco pendientes de cómo evoluciona todo en cuanto a estas medidas que puedan estar un poco más pendientes.

No tenemos que dejar que esto nos aleje de lo importante, que es sacar adelante nuestros negocios, y ayudar con ellos a las personas que necesitan de lo que compartimos. Por eso es importante perder el menor tiempo en esto, pero asegurándote en la máxima medida que está todo correcto y no tendremos problemas.

Me gustaría escucharte porque creo que será un tema interesante para debatir.

¿Vas a poner en marcha todas estas medidas? ¿Crees que son un poco exageradas? ¡Coméntame qué opinas al respecto!

Y si crees que puede ser interesante para alguien, ya sabes que estoy encantado de que lo compartas.

Un abrazo,

Javier Elices

PD: también agradeceré que des tu voto al artículo con las estrellas que ves a continuación. Nos ayudará a saber qué contenido te está siendo útil:

Raúl Florido

Raúl Florido

Me llamo Raúl Florido, soy abogado ejerciente, colegiado en Málaga, y apasionado del marketing online y las nuevas tecnologías.Soy miembro del depacho Sarabia y Asociados con varias sedes a nivel nacional y clientes con una facturación que superan las 6 cifras.Me veo en la obligación moral de ayudar a todos aquellos que se dedican al mundo online a cumplir con la legalidad ya que es un tema muy reciente del que se suelen tener pocos conocimientos.

Esta entrada tiene 74 comentarios

  1. Hola. Primero creo que la ley es justa. Pero, como mismo creo que va a suceder, debería ir más porque cada quien decida si incluye todo esto o no y el usuario, conociendo la ley, sea quien decida si te entrega sus datos o no. No creo que vayan a contratar a tantas personas como para estar supervisando las web de toda Europa, no conozco que se haya creado algún software para ello. Pero si ni la propia Agencia Española de Protección de Datos cumple aún hoy con la ley en su propia web https://cl.ly/311V1E05452C

    1. Hola Alain!
      Primero, gracias por comentar. Piensa que la reclamación no solo puede venir por Organismos Públicos/Autoridad de Control, sino que puede presentarse denuncia por afectados, y tienen derecho de indemnización, es algo de lo que no se habla mucho pero siempre hay algún avispado que otro para aprovechar y sacar dinero. Es algo que se va a hacer de forma paulatina, en eso estoy de acuerdo contigo. No tienen a día de hoy medios suficientes, igual que tampoco los tenía la Agencia Tributaria hace unos años. Pero si es para recaudar dinero … se preocupan bastante ya que es dinero fácil.
      Saludos!

  2. Hola Javi/Raul. Muy buen artículo. De los más claros que he leído hasta ahora. Una pregunta rápida. Es necesario realmente que el usuario apruebe la nueva política. Me están llegando muchos avisos de muchas empreas cambiando las políticas pero no he tenido que aceptarlos. Más bien ha sido que damos por hecho que los aceptas. Eso se puede hacer? Gracias!

    1. Hola Manu!
      Es algo que está generando mucha confusión, si esa empresa obtuvo el consentimiento de forma expresa, no hay que aceptar nada, sólo informar de que tienes nuevas políticas, pero no hay que aceptar el consentimiento porque ya en su momento se hizo.
      No obstante, si la empresa en su momento no obtuvo tu consentimiento de forma expresa, sí que debe enviar ese email y en caso de que tú no aceptes, deberá eliminarte de la lista.
      Espero haberte aclarado la duda porque es una que muchos tienen!
      Saludos!

  3. Muchas gracias Javier, la verdad que la información es muy completa, pero me surge una duda… Nuestra empresa ofrece servicios a negocios y generalmente contactamos con ellos al e-mail que tienen publicado en su Web o redes Sociales como Email de contacto. Entiendo que si de forma publica indican ese email como de contacto con su empresa, se puede enviar un email comercial y lógicamente que dicho email cumpla con las normativas con la opción de baja automática por ejemplo.

    1. Buenas Jorge!
      Con lo que comentas no se puede enviar email comercial, ya que necesitarías el consentimiento expreso para ello, independientemente que tenga su email de contacto. Inclumpliría con la LSSI, y esos datos, en caso de querer meterlo en tu base de datos por estar en Internet, tampoco se puede hacer, la AEPD ya resolvió en su momento establenciendo que Internet no es fuente de acceso público.
      Gracias por comentar, es una duda que suelen tener!

  4. Hola Javier,

    Muchas Felicidades por el artículo! De lo mejor que he.leído por ahora sobre el tema.

    Sé que me dirás que estoy equivocado, pero debido al RGPD, he decidido no recoger datos personales de los usuarios, ya que el blog no me da ni para una tapa de jamón al mes.

    He eliminado todas las cajas de suscripción de correo electrónico, los comentarios de todo el blog y quitado el formulario de contacto.

    Lo he substituido por un canal de Telegram, el plugin de Facebook comments y decir en mi página de contacto que quién quiera contactar conmigo me escriba un email a mí correo.

    Lo que sí tengo pensado es enviar links de afiliados a través del canal de Telegram.

    Mis preguntas son:

    1. Afecta la RGPD a los canales de Telegram? Entiendo que no, porque cuando alguien se suscribe no puedo ver su teléfono y se puede dar de baja desde su aplicación cuando quiera, los comentarios pertenecen a Facebook y no recojo datos en mi BBDD. Es correcto?

    2. Aunque no lo utilizo, creo que sí recojo información a través del Google Analytics. Tengo que informar de eso?

    3. Se tiene que cambiar algo en el Aviso Legal sobre las cookies de mis afiliados?

    4. Puede ser considerado Spam si envío links de afiliados por Telegram? Evidentemente sin abusar, soy el primer interesado en que la gente no se desuscriba del canal.

    Salud y Muchas Gracias!

    1. Buenas Marc.
      Te respondo a las preguntas tal y cómo las has realizado:
      1.- Sí que afecta el RGPD a Telegram, necesitarás el consentimiento para incluirlos, y mucho cuidado con eso, de hecho hay una sanción por Protección de Datos en algo parecido, pero era Whatsapp.
      2.- Tienes que informar de Analytics ya que instala cookies y recoges datos de usuarios.
      3.- En el aviso legal no, en la política de cookies.
      4.- Es SPAM puro y duro.
      Mi recomendación/consejo es que vuelvas a tener cajas de suscripción, porque la IP se considera dato personal, de hecho, va a caer si no ha caído ya una sentencia de un Tribunal Europeo (el TJUE) aclarando precisamente ésto. En definitiva bajo mi punto de vista vas a tener que cumplir con el RGPD ya que también esta norma amplía qué se considera dato personal. Te pongo el concepto de “tratamiento de datos” para que puedas entenderlo:
      “cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”
      Es un tema complejo el tuyo, espero haberte ayudado, pero es la recomendación que te daría.
      Un saludo!!

      1. Hola Raúl,

        ¡Muchas Gracias por tus respuestas! ¡No esperaba que contestaras todas al detalle y realmente te lo agradezco!
        Aunque me surgen dos dudas de tu respuesta:

        1. Si alguien se añade a tu Whatsapp Business tienes acceso a su número de teléfono. Si alguien se añade a tu canal de Telegram no tienes acceso a su número. Es precisamente el motivo por el que me decanté por Telegram y no por Whatsapp. Un canal de Telegram funciona cómo una página de Facebook, tu pones los posts y la gente los ve y se puede suscribir o desuscribir. ¿Por qué con Telegram hace falta consentimiento y con Facebook no?

        2. Si la IP es considerada un dato personal, quiere decir que cualquier web debería cumplir con la RGPD aunque no recoja ningún dato. Pero entonces… ¿Cómo se consigue un consentimiento expreso del usuario conforme te da su IP? Porque entiendo que sólo por el hecho de navegar ya tienes ese dato…

        ¡Muchas Gracias!
        Marc

      2. Hola Raúl,

        ¡Muchas Gracias por la respuesta! La verdad es que no esperaba que contestaras todas tan al detalle y te lo agradezco muchísimo!

        Aunque me surgen dos nuevas dudas:

        1. Si alguien se añade a tu WhatsApp business tienes acceso a su número de teléfono. Si alguien se une a tu canal de Telegram no tienes acceso a su número. Es precisamente el motivo por el que me decanté por Telegram y no por WhatsApp business. Un canal de Telegram funciona cómo un muro de Facebook. Los usuarios se pueden suscribir y desuscribir cuando quieran y a mí no me queda ninguna información de sus datos ni los he tenido nunca. ¿Por qué entonces la ley afecta a Telegram y no a Facebook?

        2. Si la IP es considerada cómo dato personal… ¿Quiere decir que todas las webs deben cumplir con la nueva ley aunque no tengan ninguna actividad comercial? ¿Cómo se consigue un consentimiento expreso del usuario entonces? Porque sólo por el hecho de que el usuario navegue por tu web ya tienes acceso a ese dato.

        Muchas Gracias!
        Marc

  5. Gracias Javier y Raúl por aportar tanto contenido de valor. Es la primera vez que veo información clara y concisa sobre este tema y ya me quedo más tranquila.
    Yo tengo una duda. Aún no tengo mi página web ni siquiera montada, por lo cual no estoy recogiendo datos de nadie, obviamente. Si en un momento dado introduzco el formulario de contacto, ¿en ese momento tengo que darme de alta como autónoma o empresa para poder informar a la Agencia Española de Protección de Datos acerca del fichero donde están los datos de mis suscriptores?

    ¡Gracias y un saludo!

    1. Buenas M. del Carmen:
      Para darte de alta como autónoma debes hacerlo cuando empieces a cobrar por ello, si solo es un “portfolio” por decirlo de algún modo o un blog, no hace falta.
      A la agencia ya no hay que dar de alta el fichero como antes, tendrás que recoger los ficheros pero de forma interna, en tu documentación.
      Autónomo y Protección de Datos son independientes, puedes “no ser autónomo” y tratar datos de carácter personal.
      Saludos!

  6. Hola, Raul,
    Hola, Javier,

    Gracias por el artículo, realmente entendible y todo lo ameno que puede ser, creo…

    Una pregunta rápida:

    En el formulario de registro de la AEPD, en los primeros cuadros de texto, solicita el nombre de empresa. Entiendo que si no tenemos empresa, irían los datos de autónomo tal cual. Es así ¿?

    Muchas gracias!

    1. Buenas Kiko!
      Efectivamente, en este tipo de formularios cuando se habla de empresa, denominación social etc es el nombre del autónomo.
      Saludos y gracias por responder!

  7. Muchas gracias por el artículo, es muy ilustrativo. Sólo me queda una pregunta: en mi caso, tengo web y blog con la correspondiente newsletter, pero no vendo nada. ¿Cómo se aplica todo esto?
    En el caso de que la web esté alojada en un portal, o p.ej., el caso de blogger, wordpress o mailchimp, ¿a quién le corresponde la política de privacidad?
    Perdonad mi ignorancia, esto es chino para mí.

    1. Buenas Cristina!
      No te preocupes que haces bien en preguntar. Sí que tienes que tener política de privacidad, te corresponde a ti. No hay que confundir ventas con protección de datos, ya que puedes tratar datos, y no vender nada.
      Saludos y gracias por comentar!!

      1. Hola Raúl. Muchas gracias por toda la información. Mi situación es similar a la de Cristina, hoy por hoy no vendo nada, entonces no se muy bien que poner en la política de privacidad, pero supongo que sería mejor tenerla preparada para el futuro.

  8. Hola.

    Muchas gracias por esta guía súper útil. Tengo unas dudas referentes a esta nueva normativa.

    – Tengo pensado realizar aplicaciones móviles para monetizarlas con Adsense. ¿Tengo que utilizar una empresa Europea o puedo utilizar una empresa que tenga la Sede en Estados Unidos? En caso que pueda utilizar una empresa de Estados Unidos, ¿qué es lo que debería poner en la aplicación para no pillarme los dedos?

    – Trabajo el marketing de afiliados con Clickbank, Hotmart, Jvzoo etc. ¿Hay alguna manera de que yo puedo promocionar estos productos y no se vea mi nombre por ningún lado? Tengo una marca fuera de Internet y no quiero que me asocien con ciertos productos.

    – Si tenemos infoproductos que vendemos en Internet, ¿qué trámites hay que hacer para no pillarnos los dedos?

    – En algunos casos he utilizado WebinarJam para hacer Webinars. He visto que ellos cumplen con Privacy Shield. ¿Hay que añadir algo en la cajetilla que te da WebinarJam?

    Disculpad tantas preguntas pero la ley está para cumplirla y si no la cumplimos como es debido, vienen las sanciones duras.

    Muchas gracias por compartir este información.

    Yanire

    1. Hola Yanire!
      – Respecto a la empresa, depende de donde tengas tu domicilio fiscal, ahí será donde tengas que crear la empresa.
      – El tema de marketing de afiliados se la paso a Javi!
      – Si vendes infoproductos tienes que cumplir con todo lo que he establecido al final del post, si es en España, deberás de darte de alta en Hacienda, Seguridad Social, Propiedad Intelectual, RGPD…
      – Deberías de añadir lo mismo que en las cajas de suscripción en WebinarJam, para cumplir así con el consentimiento e información
      No te preocupes por las preguntas y muchas gracias por comentar!!
      Saludos!

  9. En el author box se ha colado este texto, que doy por hecho que iba destinado a la imagen “:cara_ligeramente_sonriente:” jeje. También “depacho” Sarabia… No es por incordiar 😉 El post, por lo demás, ¡EXTRAORDINARIO!

  10. Hola, Raúl y Javi.

    En primer lugar, me uno a las felicitaciones por el post que somos muchos los que no sabemos cómo nos afecta todo esto y cómo debemos proceder.

    Mi duda es la siguiente: ¿qué ocurre con los freelance que ofrecemos nuestros servicios y que incluimos en la web un apartado de contacto para que se comuniquen con nosotros? ¿También tenemos que hacer cambios para cumplir con la nueva ley? Entiendo que sí porque aunque los datos que se recogen (nombre, email y, si ya es cliente, datos de facturación) no son sensibles, sí que son datos personales.

    Bufff… menudo lío. La verdad es que estoy muy perdida.

    Muchas gracias.

    1. Buenas Lara!
      Te has respondido correctamente. Sí que tienes que cumplir con la normativa.
      No te líes que no vas nada perdida.
      Saludos y gracias a ti por comentar!

  11. Esta web está en construcción y aunque actualmente tiene su hosting en España, antes de el 25/05/2018 será transferida y hospedada en un servidor de Brasil. Estará exclusivamente funcionando en y para Brasil, nada que tenga relación con la Unión Europea, tanto en lo digital como en lo referente a ser autonomo, o pequeña empresa originada y radicada en Brasil, ni nada que tenga relación con la Agencia Tributaria Española. Si algún día factura algo será ingresado en banco brasileño y quedará allí sin ninguna interferencia ni relación alguna con España. Pregunto ¿en este caso también está obligada esa web a cumplir con la normativa RGPD, o debo cumplir con la legislación brasileña respecto de protección de datos personal?
    Gracias por vuestra respuesta y colaboración.

    Cristóbal López

    1. Hola Cristóbal me has puesto muy fácil la respuesta 😛
      Solo Brasil! Eso sí, si recabas datos de personas de la Unión Europea, entonces sí te toca cumplir RGPD en consonancia con protección de datos de Brasil. Una no excluye a la otra.
      Saludos!

  12. Hola a ambos. Si en mis blogs no vendo nada, no tengo campos de comentarios ni gano dinero, ¿debo estar dado de alta como autónomo? Es que veo que la herramienta Facilita me pide un CIF.

    1. Buenas Edmundo!
      CIF es también DNI. No va aparejado ser autónomo con la Protección de Datos.
      Saludos!

  13. Hola Raúl y Javi.
    Qué nivel, un artículo super valioso. Lo dáis todo!
    Yo tengo una pregunta para los 2: digamos el caso del grupo de suscriptores que no dice ni que sí (acepta condiciones) ni que no… ¿debemos eliminarlos de nuestros registros completamente? No es lo mismo sacarles de una lista que darle a “delete”, verdad? No sé si tiene sentido mantener sus datos si no los podemos usar, o si se les puede seguir de alguna manera intentando repescarlos. ¡Mil gracias por vuestra ayuda!

    1. Hola Isa!
      Gracias por comentar 😀
      Debes eliminarlo completamente de tu registro, ya que seguirías tratando esos datos, aunque no los uses. Cuidado con eso!
      Solo puedes conservarlo si te dice que sí, eso es el consentimiento EXPRESO, de lo contrario sería Tácito y ya a partir de mayo está prohbido.
      Saludos!

  14. Hola Raúl y Javi

    Supongo que para curarse en salud, me están llegado algunas newsletters de gente que me informa que ha adaptado ya su web a esta nueva legislación y que si quiero seguir recibiendo la newsletter tengo que confirmar de nuevo mis datos.

    Puede que parezca algo exagerado y que se pierda algún que otro suscriptor; pero es mejor tener una lista ‘limpia’ a partir del 25 de mayo que llevarse algún disgusto por este asunto.

    Abrazos

    1. Buenas!
      Totalmente de acuerdo, a demás te sirve para hacer limpieza.
      Gracias por comentar!

  15. Hola Javier y Raul, la verdad es que es de los mejores artículos que he leído sobre el tema del RGPD. Sin embargo sigo teniendo dudas que no consigo despejar. Si me permitís las expongo, os agradecería mucho, si podéis dedicarme unos minutos, obtener respuestas.

    1ª. – ¿Es correcto y “legal” mostrar “la coletilla” (primera capa de información sobre privacidad) en los formularios por debajo del botón enviar?

    Según tengo entendido, hoy en día la mayoría de los accesos a las webs se realizan desde dispositivos móviles y el mostrar este texto por debajo del botón enviar hace que no sea visible y que en la mayoría de las ocasiones los usuarios se suscriban sin ver esta información.

    2ª.- Se habla mucho de la adaptación de los formularios y de los textos legales pero creo que hay exigencias del Reglamento igual de importantes y que no se está haciendo demasiado caso, por ejemplo:

    “Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. Se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios. Articular procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos por medios electrónicos. Los responsables deberán tomar medidas para verificar la identidad de quienes soliciten acceso y de quienes ejerzan los restantes derechos.”

    Generalmente la forma de acceso que se ofrece para el ejercicio de los derechos está escondida en medio de la política de privacidad, y suele ser algo como “envía un correo a esta dirección de email o envía un correo postal acompañado de una copia de tu DNI para que podamos verificar tu identidad”. Sinceramente, para mí esto no cumple con lo que nos está indicando el RGPD. Primero que no puedo verificar con un DNI a una persona que se ha suscrito a nuestro boletín poniendo su nombre (en muchos casos es un nick y no su nombre real) y una dirección de email. Además, la acreditación que le podemos ofrecer es dudosa.

    La pregunta, ¿es legal hacerlo así o deberemos facilitar y habilitar procedimientos visibles, accesibles y sencillos que posibiliten la presentación de solicitudes por medios electrónicos, con un sistema de verificación del usuario seguro y que además permitan a los interesados acreditar que han ejercido sus derechos?

    3ª.- ¿Podemos seguir utilizando los servicios de Google (Gmail), Mailchimp, ActiveCampain, etc… simplemente por que están acogidos al escudo de seguridad UE-EEUU?

    Tengo entendido que además hay que firmar un acuerdo con ellos, al igual que ocurre con nuestro proveedor de hosting y email o nuestra gestoría. Además, Google dice que este acuerdo sólo se ofrece a sus clientes de pago (G-Suite) no para las cuentas gratuitas.

    Estaría muy agradecido si me podéis despejar estas dudas. Muchas gracias y slds.

    1. ¿Hay algún motivo para no contestar a mis dudas?

  16. Gracias por la currada, es información muy valiosa. Sin embargo, parece que el “centro de los problemas” es la cuestión de los emails, suscripciones a newsletters, infoproductos y demás. Mi pregunta es, qué pasa con el típico blog o web de andar por casa donde la gente puede dejar sus comentarios (con un nombre y email, que muchas veces ni siquiera son reales)??? Esos campos nombre e y email también hay que darlos de alta en el registro de actividades de la agencia de protección de datos? Gracias!

    1. Buenas Alberto!
      El fichero es un conjunto de datos, es decir, das de alta el fichero “suscriptores/usuarios web” y eso significa que captas datos de suscriptores y usuarios web que dejan su nombre y email, no tienes que dar de alta cada usuario que entra por decirlo de algún modo.
      A partir de mayo, esa obligación del fichero como se dice en el post, ya no es obligatorio.
      Saludos!

  17. Hola Raúl y Javi,
    El articulo queda claro. Por suerte no tenemos temas de emails o de generación de leads asi que nos salvemos de esos cambios.
    Estoy viendo sitios que permiten gestionar los cookies de manera fina, es decir de aceptar el cookie de Analytics pero rechazar el cookie de Facebook. Es el ejemplo de la CNIL en Francia. ( cnif.fr ) Saben si van mas alla de la ley o si el plugin EU Cookie Law ya es suficiente ?
    Gracias

  18. No tengo claro si en una web dedicada únicamente a informar de productos utilizando un programa de afilizados para monetizarla sería necesario implantar la nueva política de protección de datos. Al no recopilar información de suscriptores creo que no pero no lo tengo claro.

    Me interesa saber la respuesta al comentario del compañero Marc que pregunta lo siguiente:

    “Muchas Felicidades por el artículo! De lo mejor que he.leído por ahora sobre el tema.

    Sé que me dirás que estoy equivocado, pero debido al RGPD, he decidido no recoger datos personales de los usuarios, ya que el blog no me da ni para una tapa de jamón al mes.

    He eliminado todas las cajas de suscripción de correo electrónico, los comentarios de todo el blog y quitado el formulario de contacto.

    Lo he substituido por un canal de Telegram, el plugin de Facebook comments y decir en mi página de contacto que quién quiera contactar conmigo me escriba un email a mí correo.

    Lo que sí tengo pensado es enviar links de afiliados a través del canal de Telegram.

    Mis preguntas son:

    1. Afecta la RGPD a los canales de Telegram? Entiendo que no, porque cuando alguien se suscribe no puedo ver su teléfono y se puede dar de baja desde su aplicación cuando quiera, los comentarios pertenecen a Facebook y no recojo datos en mi BBDD. Es correcto?

    2. Aunque no lo utilizo, creo que sí recojo información a través del Google Analytics. Tengo que informar de eso?

    3. Se tiene que cambiar algo en el Aviso Legal sobre las cookies de mis afiliados?

    4. Puede ser considerado Spam si envío links de afiliados por Telegram? Evidentemente sin abusar, soy el primer interesado en que la gente no se desuscriba del canal.

    Salud y Muchas Gracias!”

  19. Enhorabuena por el post, es genial. Mi duda trata de la recuperación de carritos. Por ejemplo un lead llega y empieza el checkout, para ello tiene que rellenar 1ro su usuario y e-mail y luego la dirección… Los plugins de woocommerce o herramientas de e-mail marketing como klaviyo, AC, mailchimp… te captan ese e-mail y les envía un e-mail para que finalice la compra. Esta persona es nueva y no se a suscrito a mi newsletter, estos e-mails son legales? Ya que ha puesto los datos pero no ha finalizado el pago?

  20. Hola Javi y Raúl, excelente post!! Gracias a los dos por compartir toda esta información. Tengo una dudilla porque estoy pensando en cambiar de herramienta de email marketing y a lo mejor es el momento.
    Supongo que lo que demuestra que el suscriptor ha aceptado la política de privacidad no es solo que tenga el campo “Acepto la política de privacidad” en sí mismo, ya que son editables por el que maneja la herramienta, sino el registro que guarda la herramienta de su actividad (si marcó el tick, si abrío el email,…). Entonces, ¿que pasa si cambio de herramienta en un tiempo, solo me queda mi lista en un fichero y la llevo a otra herramienta donde ya no tenga registro de lo que había pasado? Solo tengo que ese campo está relleno, pero nada más. ¿Tendría que volver a pedir que aceptaran para que la nueva herramienta lo registre?

    Gracias chicos!

  21. Gracias Javir, ya lo puse en practica, pero lo que no me queda claro es el plugin de EU que mencionas.Ya lo instale pero no veo la función a diferencia del de cookies

  22. Muchas gracias por la información. En los comentarios de los artículos como éste y en el formulario de contacto, entiendo que también habría que incluir un checkbox y una leyenda, ¿no?

    ¿Podemos fusionar la política de privacidad y el aviso legal en un sólo texto y tener una única página?

    1. Buenas Marcos!
      Efectivamente en comentarios también, es algo que Javier está haciendo de forma técnica.
      Respecto a los textos sí que puedes fusionarlos pero luego se deben identificar de forma clara, es decir, qué es el aviso legal, qué es la política de privacidad etc. Si pones un INDICE, mucho mejor.
      Saludos!

  23. Hola! Antes de nada, os quiero felicitar a los dos por este artículo, que realmente me ha despejado muchas dudas y a la vez me ha hecho ver que tengo mucho trabajo por hacer ;). Os escribo porqué soy muy nueva en el mundo digital, y tengo dos dudas:

    1) Una vez pasado el 25 de mayo, deberé borrar de mi lista a todos los suscriptores que no hayan confirmado su suscripción?

    2) En temas de propiedad intelectual, mencionais a SafeCreative, podemos y debemos registrar cualquier tipo de contenido digital?

    Muchas gracias por vuestra ayuda!

    1. Hola Vero!
      Gracias por comentar
      1.- Los que no hayan confirmado suscripción, si no los habías captado con check, tienes que eliminarlos.
      2.- Sí, poder sí, pero deber, bueno, es algo que debes valorar en tu negocio.
      Saludos!

  24. Excelente articulo.
    Pregunto, las personas que tienen paginas de venta de productos de afiliados, como Amazon o Clickbank, que no recogen los datos de nadie sino que lo hace la empresa que vende el producto.
    Tienen que cumplir con algo de esto?
    Gracias.

    1. Buenas Carlos, depende de varios factores, si tienes alguna página de contacto, deberás tener todo lo establecido, siendo muy importante la página de cookies. Yo siempre recomiendo por prudencia que tengas tu política de privacidad también, porque tratas datos igualmente, donde establezcas la finalidad y demás, aunque no necesites el consentimiento.
      Saludos!

  25. Excelente artículo Raúl y Javi, creo que el mejor de los que he leído al respecto y el más claro, lo cual es de agradecer (los temas legales se atascan siempre).

    Yo quiero preguntaros sobre las herramientas de mailing, en concreto de MailChimp. Hasta hace nada, tenían un acuerdo firmado con la UE pero ya parece que va a ser ilegal gestionar las campañas con esta plataforma.

    ¿Podéis confirmármelo por favor? Y si es así… ¿Hay alguna alternativa para utilizar que cumpla la ley española?

    Como sugerencia os dejo un posible post donde se hable de cómo hacer este tipo de campañas de forma legal y todo el contenido que debe recoger cada mail conforme a la LOPD.

    Millones de gracias por tanta info y saludos!

    1. Buenas María!
      Respecto a lo que comentas, todo lo contrario, ya que se están actualizando para cumplir con el RGPD, y respecto al Convenio, sigue en vigor, no te preocupes que puedes operar con normalidad con esa herramienta.
      Gracias por comentar y la sugerencia.
      Saludos!!

  26. Muchas gracias por este post tan claro y detallado. Tengo una pregunta que creo que no han hecho hasta ahora.
    Vivo en Argentina y entiendo que debo adecuarme al nuevo reglamento si tengo usuarios de la UE. Pero, y aquí viene la pregunta, toda la parte en la que hablan de la AEPD, eso no me correspondería hacerlo, no? por ejemplo, el apartado n° 10 del artículo.
    ¡Muchas gracias!

  27. El artículo más completo hasta la fecha que he leído sobre la nueva ley de protección de datos. Muchas gracias por compartir esta información.

    Tengo una pregunta, porque es tan estricta la ley cuando se trata de comunicar vía email y luego permite que Vodafone te llamen por teléfono 2 o 3 veces a la semana ofreciéndote sus servicios, y mi única contestación durante más de un año es que no me llamen más.

    Sabes que se puede hacer para que esta compañía me deje de molestar?, no quiero que tengan mis datos.

    Gracias!!

  28. ¿Es por algún motivo en concreto que mis preguntas no hayan tenido respuesta?

    Slds.

  29. Muchas gracias por el artículo. Muy completo.
    Aún así les agradecería si pudieran despejarme un par de dudas que no se resuelven ni en el post ni en los comentarios.

    Estoy de alta en Argentina y ahí figura mi domicilio fiscal. El hosting (Raiola) y el proveedor de email marketing (Mailrelay) son españoles. A la sazón también soy español, además de argentino, pero a mi actividad online la gestiono como argentino.

    Preguntas:
    1- Debo atenerme en principio a la legislación argentina pero también a la RGPD. Sin embargo, ¿debo rellenar ese formulario de actividad de la dirección española de protección de datos? ¿Siendo de ambas nacionalidades qué debería hacer? Para otros que no sean españoles, ¿deben rellenar también esto para cumplir la RGPD? ¿Cómo sería es caso?

    2- Algo que no he encontrado en ningún artículo de ninguna web. Se recomienda la confirmación de la lista anterior, pero se les escapa a todos un detalle importante y es la nacionalidad de los suscriptores. Es decir, ignoro la nacionalidad de mis suscriptores, aunque entiendo que son de habla hispana, pero existen 572 millones de hispanohablantes, solo el 8% en la comunidad europea (España), EEUU solamente tiene más. Entonces, ¿qué sentido tiene dar de baja a un hipotético 92% de suscriptores que no se ven afectados por la RGPD? ¿Cómo resolverían esta situación? Cuando se suscriben no se les pide nacionalidad o lugar de residencia?
    3- ¿Qué pasa cuando cambiamos de proveedor de email? ¿Cómo certifico que ha aceptado la política de privacidad?
    4- Transcurrido el tiempo, ¿cómo se sabe que han aceptado la política de privacidad? ¿Hay alguna forma que perdure en el tiempo que verifique que ha sido aceptada? Es decir, puedo poner y quitar la casilla de verificación un montón de veces. Puedo reinstalar wordpress o el que sea miles de veces, cambiar de proveedor de hosting, etc. No sé cómo es esto, supongo que habrá maneras, o son lagunas. En cualquier caso, de ser lagunas, ¿qué recaudos debería tomar?

    Mil gracias por responder. Un fuerte abrazo.

  30. Muchas gracias Javier y Raúl!! Está todo muy claro y muy bien explicado para lo tedioso que resulta el tema 😀
    Tengo mis dudas de cómo van a controlar cada web, pero más vale dedicarle unos días a ponerlo todo en orden, por si acaso….
    En cuanto a la ​​​Ley General para la Defensa de los Consumidores y Usuarios, ¿es suficiente con tenerlo todo detallado en la página de “Condiciones de Contratación”?
    Gracias y saludos!

  31. Hola, muchas gracias por el artículo, es realmente muy útil. Tengo un par de dudas:

    – Tengo entendido que la RGPD no se aplica a datos de empresas, pero sí los que incluyen datos personales de algún trabajador que permita identificarlo (por ejemplo su nombre y apellidos o un email del tipo [email protected]). Así mismo, si se trata de un autónomo, sí que aplica la RGPD. ¿Esto es así?
    – ¿Qué pasa si mi actividad es la publicidad? Soy autónomo y mi actividad es la de “servicios de publicidad…”. Al escoger publicidad, no me deja utilizar FACILITA. ¿Tengo entonces algunas obligaciones extra?

    Gracias de antemano

  32. Buenas !Javier y Raúl !..muchas gracias por toda esta información, mi duda es la siguiente, soy alumna de javi en Monetiza tu pasión, pero antes había hecho otro curso donde nos decían lo importante de tener la lista de contactos, hice todo y ahora tengo 36 correos activos y 40 inactivos, nunca volví a enviar nada cuando descubrí el curso de javier y vi que era lo que yo realmente quería hacer con mi web, entonces que ¿debo hacer con esos correos?, debo borrarlos sin más , avisar que voy a darlos de baja?, no se que hacer….en su momento también informe a la agencia de protección de datos e hice todo el proceso.
    Espero me podáis ayudar, un abrazo!

  33. Qué gran post. Me encanta toda la ayuda que prestas en este ‘peliagudo’ tema, que tantas dudas ofrece. Has dejado información muy clara y concisa sobre cómo proceder.

    ¡Enhorabuena! Un abrazo.

  34. Hola, primero muchas gracias por el contenido que ha sido bastante completo. Solo me queda una duda sobre el “fichero “usuarios de la web y suscriptores”” del que se habla en los textos, entiendo que es el mismo que se da da alta en FACILITA, pero no entiendo a qué se refiere porque estoy confundida si se tiene que crear en Active Campaign una lista que se llame “usuarios de la web y suscriptores” y que ahí se vayan agregando los contactos o ¿a qué se refiere? porque mis listas se llaman diferente y si estoy indicando en los textos que serán tratados y que van a un archivo llamado usuarios de la web y suscriptores pero en realidad van a una lista que se llama diferente como: “contactos de blog”, ¿puedo tener problemas?.
    De antemano muchas gracias.
    Saludos cordiales.
    Lety

    1. Hola Lety!
      No hace falta crear nada en active campaign, en Facilita no das nada de alta, sólo que te ayuda a adaptarte por decirlo de algún modo. Pero no es algo obligatorio siquiera…
      No vas a tener problemas!
      Saludos

  35. Felicidades por el gran aporte de valor que habéis hecho. Sé el trabajo que conlleva un post y este tiene un trabajazo detrás.
    Mi duda:
    Es obligatorio que en los textos de política de privacidad, etc… de mi Web aparezca mi número de teléfono, si es algo que no utilizo a nivel laboral, ya que todas las comunicaciones las hago por e-mail o facebook.
    Gracias.

    1. Buenas Eva,
      No es necesario!
      con el email es suficiente.
      Gracias a ti por contestar!

  36. Felicidades por el gran aporte de valor que habéis hecho. Sé el trabajo que conlleva un post y este tiene un trabajazo detrás.

    Mi duda:

    ¿Es obligatorio que en los textos de política de privacidad, etc… de mi Web aparezca mi número de teléfono, si es algo que no utilizo a nivel laboral, ya que todas las comunicaciones las hago por e-mail o facebook?
    Gracias.

  37. Hola. En mi país no tengo la obligación de constituir una empresa ni dar de alta mi negocio en el IRS. ¿Tendríamos también estas obligaciones para poder ofrecer nuestros

  38. Hola Raul: Post muy completo para España. Los que estamos al otro lado del lago (Sur y Centroamérica) como nos puede afectar? Ya que no tenemos registro ni empresa en España! Tampoco abogados especialistas en leyes de Europa. Hay algo ( o todo) que debamos incluir? De antemano gracias.

    1. Buenas!
      Si tratas datos de personas de la Unión Europea, practicamente debes cumplir con todo además de la normativa de tu país.
      Saludos!

  39. Hola Javier/Raul muchas gracias por toda la información.

    Yo justamente he lanzado mi nueva web, con cajas de suscripción que no se ajuntan a las nueva ley, así que ya se lo que tengo que hacer sin embargo aunque la información esta clara tengo algunas preguntas.

    1 – Primero no estoy dado de alta como autonomo, ya que no ingreso de momento grandes cantidades, había leído que hay un limite de unos 3000 euros al año que legalmente que no tienes que declarar ya que la facturación no es excesiva, me gustaría que me confirmaras este punto.

    2 – Con mi nueva web he sacado algunos infoproductos y servicios a la venta que espero convertir durante este año, pero los cobrare sin IVA ya que en estos momentos estoy viajando y no resido legalmente en ningún país. Esta bien esto verdad?

    3 – Al no ser autónomo me tengo que registras con mi DNI en la aplicación que recomendáis “FACILITA” ?

    4 – Que pasa con todos los suscriptores que al final no confirmen la política de privacidad, se eliminaran automáticamente de mi servidor de email marketing “Mailchimp” o los tengo que borrar yo manualmente uno por uno.

    5 – En cualquiera de los dos casos del punto 4, ¿Podría descargar una excel con todos los emails de mis suscriptores y mandarles un email personal para que cumplan con la normativa cuando ya lo tenga implementado en mi web y que así se suscriban de nuevo cumpliendo con todos los requisitos?

    6 – Si empiezo a vender mis infoproductos, al estar cambiando continuamente de país, donde tendría que declararlos?

    7 – Recomiendas que al tener un negocio online y no residir mas de 6 meses en un país, puedo registrarme en Estonia, he oído que tienen un apartado especial para negocios digitales donde puedes registrar tu empresa y pagar allí los impuestos y tasas de que exige ese país y que son menores que los de otros países de la unión europea.

    Quedo a la espera de ser contestado para saber exactamente que es lo que tengo que hacer, ya que espero crecer este año con mi blog mucho mas y empezar a monetizar como espero para poder registrarme algún día como autónomo.

    Muchas gracias por todo esta gran información.

  40. Muy bien explicado, GRACIAS por poner todo esto tan claro.

    Tengo una pregunta, quizá sea obvia la respuesta, pero me pierdo un poco con todo lo relacionado con la Leyes y Reglamentos a cumplir… Entiendo que hay que modificar el pie de los email, en el ejemplo que pones y todos los que he visto buscando información por internet, se refieren a los pies de emails de campañas. Son ejemplos, de gente que se suscribe para recibir información periódica o lo que sea. ¿Pero hay que incluir también el motivo por el que esa persona recibe mi email y la referencia a la política de protección de datos cuando simplemente te comunicas con un cliente para comentarle cualquier cosa, como por ejemplo, una respuesta a una pregunta que te hizo por teléfono? Yo no tengo suscriptores, simplemente un formulario de contacto en la web, la mayoría de mis clientes me han dado su email en la oficina o por teléfono para mantener comunicaciones entre ambos.
    Disculpa mi ignorancia

    Saludos y GRACIAS de nuevo

    1. Buenas!
      En el email respondiendo, con que establezcas un pie de confidencialidad, es suficiente, no necesitas establecer nada de Protección de Datos aunque no está de más.
      Saludos!

  41. Hola lo primero de todo mil gracias por la guía que es genial y aclara como empezar con todo, yo tengo varias dudas:

    1. La primera el formulario que teneis de comentarios en el que estoy escribiendo ahora mismo no se encuentra adaptado para la RGPD aún ¿cierto? por que no incluye el check de consentimiento… ni la info de quien trata los datos… solo por confirmar que en este tipo de formularios también seria necesario a partir del 25, entiendo que si ya que se quedan almacenados en una base de datos independientemente de que luego se usen para comunicaciones o no ¿verdad?.

    2. Habéis hablado antes que esto solo aplica a los usuarios de la UE; nuestra empresa aunque muy pequeña aun tiene varias webs que se encuentran fuera de España (latinoamerica y otros lugares) enfocadas a cada país en concreto: Mexico, Colombia, es decir a priori no deberia haber ningun usuario de la UE o…. y he aqui la cuestión: “casi ningun usuario” registrado desde la UE pero… ¿como saberlo?, es complicado lo único que podriamos hacer es tirar de IP (no tengo la seguridad de que siempre dispongamos de ella) y hacer un script para pasar por todos ellos y detectar los de la ip de eu y aplicarles el filtro para pedir consentimiento de nuestras nuevas politicas o borrarlos directamente.

    3. Con respeto a lo de borrarlos viene la siguiente pregunta: ¿puedo yo e motu propio borrar cualquier usuario de nuestras dbs sin consultarles antes? es decir podría borrar estos usuarios de la UE sin incurrir en un ilicito? o debo preguntarles mediante email antes siempre??? (preguntar por email además no garantiza que lo vayan a leer o lo vayan a leer en tiempo antes de el 25).

    4. Nosotros tenemos alguno de las bbdd alojadas en servidores de fuera de la UE (canada y USA), debemos tener todos los datos de usuarios europeos en servidores de UE?

    5. Si un usuario no verifica con el doble opt-in y no hace click en el enlace de aceptación en el email ni tampoco en el de no quiero darme de alta (yo creo que ese enlace tambien seria necesario caso en el que alguien se registre con un email de otra persona y esta al verlo rechace el registro o que cambien de opinión) que hacemos en ese caso en el que el usuario no realiza una acción desde el email ni acepta ni rechaza….entiendo que se que queda en un limbo y tendremos esos datos pero sin posiblidad de hacer nada con ellos pero: ¿tenemos obligación de borrarlos? ¿cuando? ¿un tiempo razonable? ¿una semana por ejemplo?

    6. ¿Existe de cara al 25 la obligación de tener un “encargado de los datos”? (segun he leido por ahi puede o no ser una figura distinta al “responsable” que es la persona física o entidad que “usa” esos datos) este encargado de los datos debe ser externo o puede ser interno? he visto en las notificaciones que llegan por email de algunas empresas que manifiestan en los mismos quien es ese encargado.

    Mil gracias y de nuevo enhorabuena por el post…. esta muy muy bien.

  42. Buenas tardes Javi.

    En primer lugar felicitarte y darte las gracias por la utilidad que tiene este artículo para todos aquellos que tenemos un blog, vendamos más o menos, pero que conseguimos suscriptores.

    Para ir al grano, mi pregunta es meramente técnica y se refiere a la automatización que has planteado para que todos nuestros suscriptores actuales acepten la Política de Privacidad y se queden con nosotros de forma legal.

    Me ha parecido escuchar que la acción que inicia la automatización es la etiqueta “entrar-confirmar-privacidad”. Pero esa etiqueta ¿¿qué se la pones directamente a todos los suscriptores y, por el mero hecho de ponérsela, ya entran en la automatización??? Ese primer paso no me ha quedado muy claro. El resto es fantástico y se entiende perfectamente.

    De nuevo, agradecerte el post por lo práctico que es.

    Un saludo.

  43. Hola a todos!!!
    Hace un mes que me he iniciado con un Blog y con este lío de la RGPD me estoy cuestionando si continuar o dejarlo todo atrás. Es un Blog sin fines de lucro, más bien informativo, pero la verdad que me siento decepcionado con este tema.

    Gracias por su información pero no entiendo nada de legalidad y mucho menos como adaptar el Blog. Espero que dentro de un año lo tengamos más fácil, después de pasado este huracán.

    Como quiera tengo una pregunta:
    1. Si quito los comentarios y solo dejo que me sigan por las redes para que reciban las novedades del Blog, ¿Aún a sí tengo que cumplir con todo esto?

    2. Me imagino que con la coletilla y el documento legal de Cookies si debo cumplir.

    Gracias y perdonen la ignorancia.

    1. Buenas, no te desanimes por aplicar la norma, hay mucha información por ahí para adaptarse. No pierdas la ilusión por ello.
      1.- Si no recabas datos, no tendrás que cumplir.
      2.- Las cookies sí tienes que cumplir.
      Saludos y gracias a ti por comentar!

      1. Gracias Raúl. He hecho un esfuerzo y buscando aquí y allí he armado todo.

  44. Hola Javi! Como siempre buenísimo tu post!.Solo me quedan 2 preguntas que considero súper importante:s para que nuestra web este en cumplimiento a la nueva ley: ¿Que plugins gratuitos podemos utilizar para colocar los botones en nuestros formularios.? ¿Cómo adaptar nuestros formularios de email marteting si usamos plataformas como mailrelay o mailchimp?

  45. Buenas noches, Un post increíble sobre este tema. Bravo!!
    Yo tengo una duda y me gustaría un poco de ayuda.
    Soy diseñador gráfico y consigo clientes mediante redes sociales como facebook, los cuales me envían fotos personales para editarlas y otros datos. ¿Debería avisar a estos clientes con antelación antes que me envíen sus fotos? ¿De ser así se os ocurre alguna forma? Un saludo y gracias.

Deja un comentario

Cerrar