¡Que reine la calma! Porque con tanta LOPD y RGPD vamos a loquear un día de estos.
Como vemos en nuestro día a día, el mundo de la moda cada día es más digital y hay ciertos cambios a los que debemos adaptarnos. Las marcas de moda ya dieron el salto a lo digital pero ahora… toca saltar a la parte más legal de la venta online.
Todas las tiendas de moda recopilan gran cantidad de datos de los clientes: emails, números de teléfono, dirección, nombre completo, incluso DNI o datos de facturacion de empresas.
Es por este motivo por lo que debemos cumplir con la regularización del tratamiento de datos y las obligaciones que este reglamento nos pone.
Creo que todo esto puede sonarte a chino… Si es así o si estás familiarizado, creo que este post es JUSTO LO QUE BUSCABAS.
¿Aún no te has puesto al día con los cambios del Reglamento General de Protección de Datos?
Para muchos esta pueda ser la primera vez que lean sobre esto, pero para muchos otros, las aplicaciones de la RGPD nos salen por las orejas y tenemos más que clara la fecha límite: 25 de Mayo de 2018.
¡Pero que no cunda el pánico! Que tal y como pintan las cosas, parece que se acaba el mundo y en España llevamos cumpliendo con los requerimientos básicos desde hace tiempo. Ahora sólo nos toca pulir algunas aristas.
¿Te parece que empecemos desde el principio y salir de dudas?
ANTES DE PONERNOS AL LIO…
He reunido las preguntas que me repiten la mayoría de mis clientes y muchos de los que me seguís en la newsletter. Son preguntas reales, de clientes reales. Muchas de las respuestas están cogidas del propio reglamento y otras han sido consultadas a Nando Olcina, de El Abogado Digital, que nos ha dedicado un ratito a solucionar algunos puntos que tan de cabeza nos trae. Empecemos por qué narices es esto de la RGPD = Reglamento General de Protección de Datos publicada en mayo de 2016 y aplicable a partir del 25 de mayo de 2018. Es una norma que se aplica en toda la Unión Europea y que quiere proteger los datos de las personas físicas para que las empresas hagan buen uso de los datos personales y no haya una libre circulación de estos.La RGPD sustituye a la Ley Orgánica de Protección de Datos (la famosa LOPD).
¿Quieres saber más? ¡Sigue leyendo!
Las 7 FAQs y las SOLUCIONES sobre cómo aplicar la RGPD que TODO eCommerce de Moda se está preguntando ahora mismo
1. ¿Quién tiene que cumplir con la RGPD?
** Organizaciones con presencia en algún país europeo (ejemplo: si tienes tienda en España)
** Organizaciones que procesan o almacenan datos de personas que residen en la Unión Europea (ejemplo: si tienes una tienda online en Rusia pero tus clientes son Franceses o Españoles)
** Organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea (ejemplo: si contratas a un super crack de Facebook Ads que vive en Los Ángeles pero los anuncios los hace en España)
2. El mayor de los temores… ¿Me va a caer una multa?
Esto mismo le pregunté a Nando Olcina… ¿Oye, y es verdad que me pueden denunciar? Y si, es cierto.
Claro que te pueden denunciar – Me dijo Nando – pero la cuantía de una eventual sanción dependerá de la gravedad del incumplimiento que se le impute al titular de la Web.
Según he leído yo, la RGPD tiene sanciones un pelín más estrictas que la LOPD, no nos vamos a engañar. Hay una cifra que asusta, y es que la multa será de hasta un 4% de la facturación anual de tu empresa. Pueden ascender a 10 millones de euros o a los 20 millones de euros… Pero seamos francos… La RGPD es algo generalista (es mi opinión). Yo lo veo de esta forma: No es lo mismo una empresa multinacional que recolecta datos posiblemente vendibles que un emprendedor montando su primer ecommerce y pide mails a cambio de un ebook gratuito.
Si que es cierto que la Ley es la Ley, pero entiendo (y esto es personal) que no te caerá multa de 20 millones de euros por regalar un ebook sobre looks de primavera.
Sobre esto, Nando me confesó su punto de vista. ‘No nos volvamos locos Ana’, la AEPD dependiendo de los casos, puede que primero aperciba y dé un plazo para cumplir y por supuesto moderará las sanciones atendiendo a los hechos en cuestión. Dicha cantidad es un máximo.
En cuanto a la indemnización, efectivamente así lo recoge el RGPD. Se tendrá que indemnizar a los perjudicados. Pero como principio para el tema de las indemnizaciones, hay que tener en cuenta que el daño o perjuicio debe ser acreditado y reclamarse ante un tribunal.
3. ¿Debo asustarme y entrar en pánico con esto? ¡He oído que son muchos cambios! ¿Qué debo hacer?
Mi respuesta, como Ana Díaz del Río, es la de no entrar en pánico. Ya hemos tenido varios cambios en protección de datos y, si tu web ha estado cumpliendo con la ley hasta ahora, son pocas las modificaciones que debes hacer.
**Importante** realizar algunos cambios en tu web y por motivos esenciales:
- Porque dormirás tranquilo (un básico)
- Porque la RGPD y Europa se ha puesto serio con esto ¿Para qué jugártela?
- Porque tú también eres usuario, así que haz aquello que te gustaría que te hicieran. Si quieres que traten bien tus datos, hazlo tu también. Al fin y al cabo, esto es en beneficio y respeto para todos.
Algunos de los cambios que debes hacer en tu web:
- Tener un checkbox en tus formularios de suscripción donde el usuario confirme que ha leído tu política de privacidad y que quiere suscribirse a tu newsletter.
- Tener los textos legales revisados
- Tener un listado en tu gestor de emails que contenga aquellos correos que SI han dicho expresamente que quieren estar ahí y recibir newsletters semanales.
- Tienes que dejarle constancia a tus usuarios quién más tiene sus datos, como por ejemplo, tu gestor de correo (Mailchimp, Mailrelay, Active Campaing…)
- Firmar contratos de confidencialidad con tus colaboradores que gestionen datos de clientes.
Entre otras cosas que te explico más a fondo en el último punto de este post.
4. ¿Estos cambios de RGPD también me afectan si yo sólo tengo números de móviles y hago envíos de mensajes por Whatsapp o llamadas?
Efectivamente. También te afectan. Porque los mensajes son considerados datos personales. Bien utilices los números de teléfono para marketing por whatsapp como para hacer llamadas de venta o entrevistas, tienes que estar cumpliendo las condiciones que te hemos mencionado.
Además, para los que hacéis llamadas, debe haber una grabación o un mail de confirmación de la llamada que tu cliente debe aceptar. También, al empezar la llamada, puedes contarle a tu cliente que cede sus datos a tu empresa. Le informas con una pronunciación clara para que lo entienda todo perfectamente y que te de su consentimiento. (Así están las cosas).
5. Vale, tengo que revisar mi eCommerce pero, concretamente ¿Qué cambios debo hacer en los textos legales de mi tienda de moda?
Nando Olcina nos comenta que para un eCommerce de Moda los cambios que deben tener tus textos legales son los siguientes:
Lo primero que hay que revisar son los ‘Términos de uso de la Web o Aviso Legal’.
Que sería el documento en el que se hace constar la información que exige la LSSI-CE en su artículo 10, así como cláusulas relativas a cómo debe utilizarse la web, propiedad intelectual, responsabilidad, política de enlaces, etc. Todo ello relativo a la Web.
En segundo lugar, nos toca tener en regla la ‘Política de privacidad’.
Al final, la política de privacidad, no es más que la información que debe prestarse a los usuarios de una web en relación con el tratamiento de sus datos personales.
Resulta muy útil la guía de la AEPD para el cumplimiento del deber de informar. Dicha guía establece, que conforme al RGPD esa información debe proporcionarse en dos capas, para tener mayor transparencia y mayor claridad a la hora de informar, que es lo que exige el RGPD.
Por ejemplo, pondremos en los formularios justo antes del checkbox de aceptación de la política de privacidad y en la que de forma escueta informaremos sobre:
- Identidad del responsable de tratamiento
- Finalidad del tratamiento: Contratación de productos, realizar comunicaciones comerciales, etc.
- Legitimación o base jurídica del tratamiento: Interés legítimo (por ejemplo cuando se recaban datos para vender un producto) o consentimiento (por ejemplo cuando quremos hacer mail marketing a los contactos que nos piden información en la Web). No obstante, siempre existe la obligación de informar sobre el tratamiento.
- Destinatarios de los datos, en caso de que cedamos los datos a terceros o haya previsión de realizar transferencias internacionales de datos.
- Derechos de los interesados (usuarios)
- Procedencia de los datos, en caso de que no procedan directamente del Interesado.
- Un enlace a la política de privacidad.
También será necesaria una Política de Cookies, con un banner de cookies en tu web, además de informar sobre las condiciones de compra o contratación de productos que se vendan. Con especial atención a la normativa de consumidores y usuarios.
¿Puedo hacerlo solo?
Puedes hacerlo solo si le dedicas un tiempo a analizar las cuestiones relativas a tu negocio en relación con el tratamiento.
Para mi, Ana Díaz del Río, sinceramente… esto es un sarao que prefiero que me lo mire un experto. Porque siempre he dicho que zapatero a sus zapatos. Si para arreglar una tubería llamo a un fontanero, para modificar estas cosas legales lo mejor es contar con un abogado.
6. LA PREGUNTA DEL MILLÓN… ¿Si cambio sólo los textos legales y aviso a mi comunidad con un email informativo…eso está bien?
Te confieso que esta pregunta no sólo me la formularon clientes, yo también la pensé en su momento. Por eso está entre las que le transmití a Nando Olcina. Él me contestó lo siguiente:
No se trata de informar a tu comunidad de que has cambiado la política de privacidad, sino que tienen que aceptarla de forma expresa, contestando al mail, diciendo que la aceptan o marcando una casilla de aceptación de una landing page por ejemplo y debemos tener un registro de esa aceptación. El resto de la comunidad que no acepte, tendremos que borrar sus datos.
Y aquí LA RESPUESTA para muchos que desde hace años lo llevan haciendo bien: Obviamente, si se recabó correctamente el consentimiento en su momento, no será necesario recabarlo de nuevo.
Si se modifica la política de privacidad, pero no se modifica el tratamiento que se va a hacer de aquellos contactos que prestaron su consentimiento en su día y del que disponemos de prueba, entonces bastará con informar de que se ha adaptado la política de privacidad a lo que requiere el RGPD, por ejemplo, inclusión de los nuevos derechos o la inclusión del derecho a presentar una reclamación ante la AEPD.
7. Concluyendo y tras haber leído o aprendido todo lo anterior a este punto: ¿Qué checklist tendríamos que tener para empezar a trabajar y cumplir la ley?
Nando me ha dado los pasos clave ¡Esto es oro en paño! Así que toma nota y, en caso de duda, corre y llámalo porque, sin dudarlo es la mejor persona que conozco para que te ayude con todo este entramado legal.
Ana, lo primero que hay que hacer es un análisis de riesgos del tratamiento de datos que hacemos de los clientes de nuestra web o de nuestra tienda online. Es decir:
- Dónde se alojan los datos (tu mailchimp, por ejemplo).
- Quién tiene acceso a los mismos (tu equipo, tu encargado de FB Ads, tu Community…)
- Quiénes son los Encargados de Tratamiento
- Si se realizan transferencias internacionales de datos
- Qué medidas de seguridad dispone la organización
- Cuáles pueden ser las brechas de seguridad, e implementar medidas adecuadas al tratamiento: Por ejemplo cifrar los datos del portátil, por si un día se me olvida en el tren.
- Establecer protocolos de información de seguridad, protocolos de contestación a aquellos interesados que ejercitan sus derechos.
- Formar al personal en materia de protección de datos.
- Firmar contratos de confidencialidad.
- Firmar contratos de encargado de tratamiento y si vamos a utilizar los datos de forma no ocasional.
- Disponer de un Registro de Actividades de Tratamiento, que debe contener la siguiente información, dependiendo de si eres Responsable de Tratamiento o Encargado de Tratamiento (ver tabla).
- Y por supuesto, informar debidamente al usuario, y recabar el consentimiento.
Vamos… que si lees lo mismo que yo… mejor: llamar a un abogado→ El Abogado Digital.
Si quieres una primera visión de todo lo que necesitas, he encontrado una herramienta que la Agencia de Protección de Datos ha creado para que puedas hacer un pequeño diagnóstico de qué es lo que te hace falta para que cuando vayas a contactar con tu abogado (que yo te recomiendo a Nando) puedas decirle claramente lo que necesitas. La herramienta se llama FACILITA y es un pequeño cuestionario online.
Me cachis, este post se ha convertido en casi una Guía de la RGPD. Entre lo que yo narro y lo que Nando me cuenta, hemos montado un pedazo de contenido.
Honestamente, espero que os hayamos ayudado con las preguntas más frecuentes y que, a partir de YA, te pongas las pilas con el cumplimiento de la nueva normativa.
Si te ha gustado el post te espero bajo estas líneas, donde los comentarios, que me encantará leerte. Si eres timido o prefieres otros canales, podrás dar conmigo en Redes Sociales –Instagram, Facebook o Linkedin
4 comentarios
Magnífico! Llevamos días tirándonos de los pelos con este lío y hoy podemos ver un poco de luz. Muchas gracias Ana y Nando 😉
¡Hola Estefanía!
Ya no nos quedaban pelos de los que tirar y uñas que morder con tantos rumores alarmistas de la LOPD y RGPD. Menos mal que hemos puesto un poco de orden 😉 Me alegro de que te parezca buen contenido, ahora queda ponernos manos a la obra.
Gracias por tu comentario!
Un abrazo,
Ana
¡Hola Ana!
Gracias por la información. ¿Sabes si en el caso de haber creado listas en Mailchimp con el double opt – in es necesario solicitar el consentimiento de nuevo?
Un saludo 🙂 ¡Qué locura!
¡Hola Esther!
El doble optin no es el consentimiento explicito del usuario. Esto se consigue con el checkbox en el formulario de suscripción.
Te toca revisar todo y preguntar 😉
Ánimo, saldremos de esta locura! Gracias por comentar.
Un abrazo,
Ana