Ya hace 5 meses que entró en vigor la nueva normativa que regula la protección de los datos para los ciudadanos que viven en la Unión Europea. GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos).
Como diseñador Web confieso que este tema a día de hoy me sigue creando mucha confusión y dudas y que lidiar con largos términos legales y complejas normativas no es lo mío. Si bien el diseñador o desarrollador de páginas Webs no tiene la responsabilidad de abordar temas estrictamente legales que en principio deberían ser consultados a asesores y expertos en la materia, inevitablemente debemos afrontar el problema a la hora de plantear la estructura y el diseño de la interface de una pagina Web.
De eso justamente va tratar este post, intentaré explicar y de camino entender lo que seguramente no sabe el cliente y probablemente tampoco el abogado: dónde ubicar los elementos de diseño e implementar determinadas funcionalidades de programación necesarias para el cumplimiento de la normativa GDPR.
A modo de introducción hay que decir que el propósito del GDPR es regular la forma en que los servicios como youtube, vimeo o googlemap por ejemplo, recopilan y administran nuestros datos personales, y controlar como los códigos de seguimiento como la analítica de google utilizan cookies y scripts que envían datos personales, como la dirección IP a cambio del servicio “gratuito”.
La normativa No prohíbe la recopilación de datos personales, en absoluto. Solo requiere que el visitante sepa y tenga en cuenta que sus datos personales se van a recopilar, que conozca cómo esos datos se van a manejar y pueda dar su consentimiento explícito, antes de utilizar estos servicios y antes de que se procese ningún tipo de información personal.
Para explicarlo mejor he preparado un gráfico que detalla cada uno de los elementos que inciden en la normativa. Los he ubicado donde usualmente aparecen en la mayoría de los sitios Webs y a continuación los iré explicando.
1- Formularios. Check de consentimiento explícito.
Es de estricto cumplimiento incluir en todos los formularios de nuestra web una casilla de marcación obligatoria con un enlace a la página donde informamos de la política de privacidad (4) del sitio web.
Esto incluye cualquier formulario que recoja datos: un formulario de suscripción al newsletter, el propio campo de comentarios del blog o un formulario de contacto. La casilla NO puede estar marcada por defecto, debe ser el usuario el que realice esta acción.
Texto básico de ejemplo que acompaña a la casilla: He leído y acepto la Política de privacidad
¿Y qué pasa con los usuarios que ya tenias registrados en la base de datos antes de la normativa?
Siempre que recojamos datos será necesaria una aceptación explícita del usuario, si ya manteníamos un servicio de newsletter anterior a la normativa no queda otro remedio que enviarles una nueva solicitud a cada uno de los usuarios ya suscritos para que acepten las nuevas condiciones.
En este punto conviene aclarar que la normativa obliga a que el registro de un usuario al boletín de noticia se realice mediante una doble confirmación (Doble Opt in) esto significa que para que un usuario pase a formar parte de una lista de suscriptores, además de completar el formulario de registro debe ingresar a su cuenta de email y confirmar su suscripción.
2-Banner de Aviso de Cookies y gestión del consentimiento.
Es la típica barra flotante que suele aparecer por sorpresa al final de todas la paginas Webs. Su objetivo es alertar al usuario del uso de cookies proporcionándole un enlace a la pagina de Política de cookies (5) y un botón para que considere aceptar el uso de las mismas.
En esta barra se debe informar de manera visible, accesible y sin necesidad de hacer scroll del uso y política de cookies del sitio Web.
Para que se entienda mejor he preparado un gráfico bastante completo, dónde se ofrece al usuario un procedimiento para que pueda desactivar las cookies. Como se puede apreciar algunas cookies podrían ser opcionales, por lo que van a necesitar la aprobación expresa del usuario y otras van a ser necesarias, imprescindibles para que la Web funcione.
3-Aviso Legal
Esta pagina es obligatoria para cualquier página web o blog corporativo, una tienda online, o cualquier página Web que ofrezca o informe sobre productos o servicios profesionales, incluidas páginas Webs que contengan publicidad.
A grandes rasgos contiene aspectos relacionados con la propiedad intelectual, normas de uso, protección de datos y limitaciones o exclusiones de responsabilidad por los contenidos.
Incluye además el nombre o denominación social y los datos de contacto: domicilio, dirección de correo electrónico, teléfono. Los datos del registro mercantil NIF/CIF.
Si es el caso de una tienda online aparecerán también las condiciones generales de venta o condiciones de contratación.
4-Política de privacidad
Esta página es obligatoria siempre que tu sitio Web recoja datos personales del usuario y para eso basta con que tengas un simple formulario de contacto donde se solicite un correo electrónico.
Este es el texto más complejo de todos y aquí es donde entra en juego todo lo relacionado con la normativa GDPR, el contenido del texto se rige por lo que era antes La ley orgánica de protección de datos (LOPD) y que ahora se ha modificado para adaptarla a la normativa GDPR.
Para empezar la empresa debe seguir un procedimiento burocrático abriendo un registro en la Agencia Española de Protección de Datos (AEPD) donde debe indicar entre otras cosas cuales son los ficheros involucrados en la recogida de datos de los usuarios de la web.
5 Política de cookies
Esta página es obligatoria siempre que tu Web use cookies y en ella se debe explicar al usuario qué es una cookie, los tipos de cookies que está utilizando el sitio web y la finalidad de cada una de ellas.
Algunos de estos propósitos para los cuales se instalan las cookies también pueden requerir el consentimiento del usuario. Por tanto tienes el deber de facilitar instrucciones sobre cómo deshabitar las cookies desde diferentes navegadores.
Las cookies consisten en partes del código instalado en el navegador que ayudan a proporcionar un servicio con un propósito determinado cómo puede ser analizar las visitas a nuestra página web (Google Analytics) , o seguir el proceso de una compra online.
¿Cómo saber si mi pagina web usa cookies y cuales son?
Una forma sencilla de saberlo es abriendo nuestra página en el navegador Chrome, situando el ratón sobre la página, luego pulsando el botón derecho del ratón abrirás un menú desplegable donde vamos a seleccionar la opción «inspeccionar», luego pulsamos en “application” y finalmente seleccionamos “Cookies» en el listado de la izquierda.
6-Bloqueo de consentimiento explícito en la visualización de contenido externo.
Cuando utilizamos un servicio como Google Fonts, Google Analytics, YouTube, Facebook o Twitter en nuestro sitio web, algunos datos personales (generalmente la dirección IP) se envían al proveedor a cambio del servicio gratuito ofrecido. Estos datos se utilizan para crear anuncios dirigidos.
Supongamos que en la página de inicio de nuestro sitio web, estemos usando un video de YouTube como fondo para su encabezado principal. Cuando se mira este video, algunos datos personales de el espectador se envían al proveedor de servicios (YouTube).
Simplemente con comunicar al usuario que es posible desactivar el video no se garantiza que se este cumpliendo la normativa GDPR, después de todo, cuando se carga la página, YouTube ya ha recopilado algunos datos personales. El GDPR estipula que los usuarios primero deberán proporcionar la aprobación a través del consentimiento antes de que se procesen los datos y una manera de poder obtener ese consentimiento es bloqueando a priori la reproducción de el contenido y ofreciendo usuario un enlace para que de su consentimiento.
A continuación se nuestra un ejemplo de bloqueo en la visualización de mapa de google incrustado en una pagina web, no es posible visualizar el mapa hasta que el usuario de su consentimiento, si alguna vez te encuentras algo parecido en alguna Web no es un error es parte de la normativa GDPR.
Conclusiones:
Si has llegado conmigo hasta aquí supongo que ahora nos quedará un poco más claro de que va esto del GDPR y que elementos de diseño intervienen en el proceso.
Por último quiero puntualizar que como diseñadores o desarrolladores de paginas Webs es nuestro deber orientar al cliente sobre estos temas y aclararle de antemano que el cumplimiento de esta ley no están fácil como poner cuatro checkboxes o instalar un plugin que nos implemente las funcionalidades necesarias. Hay que dejarle claro que conocer los datos que procesa y cómo los procesa es su responsabilidad y recomendarle contratar los servicios de un profesional en la materia que lo asesore de manera directa.