search
El medio de comunicación que reinventa la empresa
Registrar un software

Cómo hacer que un sitio web cumpla el RGPD

Cómo hacer que un sitio web cumpla el RGPD

Por Nathalie Pouillard

El 28 de octubre de 2024

RGPD + sitio web... ¿La combinación de estas dos palabras le produce escalofríos?
En efecto, no puede habérsele escapado esta información: el RGPD, Reglamento General de Protección de Datos de Carácter Personal, exige que sus herramientas sean conformes, para que pueda tratar de la mejor manera posible la información que recoge de sus clientes, clientes potenciales y otros usuarios (socios, empleados, etc.).
En este artículo, nos centramos en el RGPD aplicado a los sitios web.

Tanto si su plataforma web es simplemente su escaparate como si vende en línea, tiene obligaciones. La satisfacción de sus clientes y su reputación electrónica están en juego.

La buena noticia es que tenemos algunas recomendaciones y herramientas para usted. ¡Hagamos balance!

RGPD y sitio web, lo que hay que saber

Aquí tiene un vídeo que resume qué es el RGPD y por qué se introdujo:

☞ ¿Tiene un escaparate o un sitio de comercio electrónico?
☞ ¿Utiliza cookies, los rastreadores de publicidad depositados en los smartphones, ordenadores y tabletas de los usuarios?
☞ ¿Ofrece formularios de contacto o envía un boletín de suscripción?
☞ ¿Es usted una empresa privada o pública, grande o pequeña, ubicada en la Unión Europea o cuya actividad afecta a residentes europeos?

A TODOS les preocupa el cumplimiento de la normativa, porque recopilan, utilizan y almacenan datos personales.

Por qué hacer que su sitio web sea conforme?

☞ Para cumplir la Ley de Protección de Datos de la CNIL y su ampliación: el RGPD ;
☞ Para proteger a sus clientes actuales y potenciales;
☞ Para garantizar una reputación electrónica intachable;
☞ Para evitar sanciones administrativas y penales, que pueden llegar hasta la cárcel (5 años) y el pago de sumas astronómicas (300.000y hasta el 4% de la facturación anual mundial de la empresa en N-1, lo que puede representar varias decenas de millones de euros).

El sitio escaparate

Un sitio escaparate es un sitio web que presenta su empresa pero que, a pesar de tener un objetivo comercial, no ofrece ventas en línea.
Tiene una serie de ventajas

  • su empresa construye su reputación en línea, frente a sus competidores actuales;
  • cultiva una imagen de marca que le ayuda a diferenciarse de los demás;
  • usted comunica sobre sus productos y servicios
  • consigue contactos, clientes potenciales que un día pueden convertirse en clientes, gracias a :
    • un formulario de contacto
    • la suscripción a su boletín de noticias;
  • mantener la relación con sus clientes informándoles, por ejemplo, a través de una sección de noticias o un espacio cliente integrado.

Los datos recogidos a través del sitio escaparate son generalmente direcciones de correo electrónico, apellidos y nombres, eventualmente dirección o zona geográfica (departamento), a veces edad y sexo, empresa, etc.

Sus obligaciones:

  • mostrar los avisos legales (normalmente en el pie de página) para que se le identifique como editor del sitio e informar a los visitantes de sus derechos;
  • recopilar únicamente la información necesaria y justificarla;
  • usted informa al usuario de la finalidad para la que se recogen los datos, el tratamiento previsto, el plazo de conservación y los posibles destinatarios (notificaciones CNIL);

De conformidad con el artículo 6 del RGPD :

El tratamiento sólo es lícito si el interesado ha dado su consentimiento al tratamiento de sus datos personales para uno o varios fines específicos.

  • obtenga el consentimiento del usuario de forma explícita y activa, sin marcar ninguna casilla;
  • Guarda pruebas de su consentimiento;
  • les das los medios para ponerse en contacto contigo para modificar su información, borrarla o retirar su consentimiento fácilmente,
  • le informa de su política de confidencialidad (enlace a una página específica de su sitio web).

El artículo 17 del Reglamento General de Protección de Datos europeo (RGPD) sobre el "derecho de supresión", o "derecho al olvido", permite a las personas solicitar la supresión de sus datos personales a las empresas que los conservan.

RGPD formulaire de contact exemple 1

El sitio de comercio electrónico

Se trata de un sitio de venta en línea, una plataforma que permite a un minorista o a un proveedor de servicios vender sus productos o servicios a través de Internet, independientemente de su ubicación geográfica. Además de generar ventas, y por tanto ingresos, puede mejorar el conocimiento de sus clientes.

Al igual que el sitio escaparate, da visibilidad a su empresa y a su actividad, desarrolla su imagen de marca y tiene como objetivo recopilar información clave sobre :

  • los clientes que realizan compras (productos favoritos, dirección, edad, datos bancarios, etc.) ;
  • pero también de los visitantes que pueden crear una cuenta, solicitar recibir información promocional y compartir sus datos de contacto y preferencias, sin pasar por la cesta de la compra.

Sus obligaciones:

  • realizará las actualizaciones técnicas necesarias y supervisará periódicamente la seguridad de su sitio web:
    • acceso https en todo el sitio,
    • contraseña compleja obligatoria,
    • transacciones seguras y almacenamiento de datos bancarios a través de un tercero de confianza (véase pasarela de pago y pago recurrente);
  • al igual que en el sitio de escaparate, sólo recopila la información necesaria para procesar la transacción y, posiblemente, la relación resultante con el cliente (cumpleaños, para poder hacerle un regalo más adelante, etc.);
  • el proceso de venta también implica informar sobre el tratamiento de los datos, obtener el consentimiento y dar al cliente el derecho a consultarlos;
  • crea una página de "privacidad" o "política de confidencialidad" en su sitio web, que comunica sistemáticamente y mantiene actualizada.

Cookies

Puede colocar rastreadores publicitarios cuando reciba una visita, en los dispositivos de los usuarios, como su smartphone o su ordenador.
Estas herramientas estratégicas le permiten analizar sus hábitos de navegación y consulta o consumo, aportarle ideas para mejorar su oferta y la estructura de su sitio (tipo de público, páginas consultadas, tiempo de permanencia por página, etc.) y también le permiten enviar publicidad dirigida.

Tenga cuidado con los distintos servicios auxiliares de su sitio, como Google Analytics, que recogen y tratan datos personales:

  • dirección IP
  • identidad
  • datos de contacto
  • geolocalización, etc.

Asegúrese de desactivarlos hasta haber recibido el consentimiento inequívoco del usuario.

Sus obligaciones:

  • En función de la finalidad del rastreador (facilitar el proceso de venta, enviar publicidad dirigida), debe obtener el consentimiento de su visitante o, al menos, informarle antes de colocarlo en su terminal;
  • si son varios (de marketing, analíticos, etc.), dar la opción de marcarlos en una lista y explicar cuáles son obligatorios y por qué.

💡 Es bueno saberlo: El consentimiento es válido durante un máximo de 13 meses para una cookie. Transcurrido ese plazo, deberá volver a solicitar el permiso.

Cómo cumplir con el RGPD?

Las medidas a tomar están bien resumidas en esta infografía:

Plezi

▶︎ Formación

Lo ideal sería empezar por formar a los distintos responsables del tratamiento de datos (directores generales, gerentes, responsables de marketing, ventas, informática, etc.) para que todos tengan una base sólida de conocimientos técnicos y jurídicos y estén familiarizados con las mejores prácticas.
Además de abogados y expertos digitales, la CNIL ofrece un taller MOOC gratuito.

▶︎ Privacidad desde el diseño

Si está creando su sitio web después de la entrada en vigor del RGPD, debe tener en cuenta las obligaciones de seguridad y respeto de los datos desde la fase de diseño. Es lo que se conoce como privacidad desde el diseño. Esto también se aplica a las herramientas CRM.

Pero para cualquiera que tenga un sitio web anterior al RGPD, hay una serie de elementos que deben tenerse en cuenta y combinarse: he aquí nuestra lista de comprobación del RGPD.

▶︎ Designación de un RPD y realización de una auditoría

Según el artículo 37 del Reglamento General de Protección de Datos (RGPD), debe nombrar a un RPD si cumple al menos uno de estos criterios:

  • eres una autoridad u organismo público
  • los datos que trata :
    • requieren un control regular y sistemático debido a su alcance y/o finalidad
    • son sensibles (datos sanitarios, religiosos, etc.).

Lea también: Aspectos básicos del RGPD

Tanto si recurre a un proveedor de servicios externo (recomendado porque es más neutral) como a su gestor informático, lleve a cabo una auditoría de su sitio web.
Pronto dispondrá de un pliego de condiciones que incluirá :

  • un inventario de las distintas operaciones de tratamiento de datos en todos sus departamentos,
  • las mejoras a realizar, clasificadas por urgencia y sensibilidad.

▶︎ Actualización de su sitio web

Cuidado: tanto si utiliza WordPress, Joomla, Drupal, Wix o cualquier otro CMS, éstos utilizan plug-ins que no están necesariamente actualizados con la normativa europea.
En cuanto a los vídeos, reproductores y mapas interactivos, asegúrate de gestionar las solicitudes de consentimiento, ya que estos servicios también recopilan datos, a veces sin consentimiento.

Antes del RGPD

  1. Cree o actualice su página de "Política de privacidad";
  2. Adapte sus formularios para incluir la información obligatoria;
  3. Adapte su banner de cookies: existen herramientas para crear un banner de cookies conforme (cookiesecure, cookiebot, etc.);
  4. Establezca un modelo de gestión de las preferencias de los internautas si envía varios boletines o notificaciones temáticas;
  5. Compruebe la conformidad de todas las herramientas auxiliares de su sitio web (plug-ins, etc.).

💡 Conviene saber: En el caso de la información obligatoria, es posible indicarla en cada página individualmente o en una página dedicada que sea claramente visible y fácil de consultar.

▶︎ Utilizar programas informáticos para gestionar el cumplimiento

Una herramienta puede hacerle la vida mucho más fácil a la hora de gestionar y controlar el cumplimiento.
Estas herramientas no garantizan que su sitio sea conforme, sino que dispondrá de una pauta para organizarse mejor, centralizar su documentación, ver el trabajo en curso y trabajar en colaboración con todos sus equipos de RR.HH., contabilidad y marketing.

Tal es el caso de Data Legal Drive.

El software de gobernanza de cumplimiento del RGPD le permite :

  • centralizar los documentos que acreditan la responsabilidad de su empresa,
  • listar las operaciones de tratamiento de datos personales que realiza,
  • elaborar un registro de tratamiento de datos,
  • realizar un diagnóstico interactivo de su empresa
  • visualizar en tiempo real los proyectos de conformidad de su sitio web y su evolución,
  • registrar las solicitudes de las personas afectadas por el tratamiento de sus datos,
  • controlar las infracciones identificadas internamente o comunicadas por un subcontratista,
  • beneficiarse de la experiencia del editor en informática y derecho de datos.
    Además, un responsable de éxito y un jurista están a su disposición para responder a sus preguntas y determinar si necesita un servicio interno.

Otra solución notable: el Capitán RPD

La solución ofrece :

  • gestión colaborativa del cumplimiento,
  • generación de informes en unos pocos clics,
  • un cuadro de mandos dinámico,
  • la posibilidad de que su RPD lleve varios registros,
  • gestión de las solicitudes de rectificación,
  • integración del software de la CNIL,
  • conexión directa de sus subcontratistas a la plataforma,
  • directorio de subcontratistas que utilizan sus datos, etc.

Existen otros programas: Smart Global Compliance Booster, myDPO, Axeptio, etc.
No dude en solicitar varias demostraciones o versiones de evaluación.
Además de la funcionalidad, la facilidad de uso, el precio y un soporte receptivo pueden ser factores decisivos en su elección.

Vea el RGPD como una oportunidad, no como una limitación

Vivimos en la era de la ética, el consumo de calidad y el respeto a la intimidad. Su implicación se verá recompensada con información de calidad sobre sus clientes actuales o potenciales, en un espíritu de respeto mutuo y pleno conocimiento de los hechos. En resumen, la antítesis de GAFA.

Si su sitio cumple con el RGPD, hay menos riesgo de piratería informática o filtración de datos (recuerde "FacebookGate", el escándalo de los datos recuperados por la empresa Cambridge Analytica): ¡su reputación en línea se preserva y sus clientes pueden sentirse seguros!

El otro beneficio clave es que, a pesar del esfuerzo financiero y organizativo requerido inicialmente, el retorno de la inversión está garantizado gracias a una recopilación de datos más meticulosa y mejor orientada: sus boletines y notificaciones se envían a personas interesadas y dispuestas, y el proceso de compra es más amigable y tranquilizador.

Un último consejo: haga que sus nuevos formularios y ajustes de gestión de preferencias (boletines o notificaciones) sean más guiños y fáciles de usar. Hoy en día, los internautas están sometidos a mucha presión y tienen la tentación de responder negativamente. Haz que quieran seguirte con eslóganes originales, diferénciate, ¡ahora es el momento!

Visto en @blogduwebdesign (izquierda) y © maddyness (derecha).

¡La lealtad está al final del túnel! Y lo mejor de todo es que no eres un forajido. 🤠

Artículo traducido del francés