Si t'has assabentat tard del nostre últim webinar gratuït sobre com fer que una pàgina web compleixi els requisits legals per evitar que ens sancionin, no et preocupis: en aquesta entrada compartim un resum de les conclusions.
A l'últim seminari web d'Escola d'Internet vam aprendre què és el RGPD i què hem de fer exactament perquè la nostra pàgina web compleixi tots els requisits i no tinguem cap problema de tipus legal. Podeu veure la enregistrament de la sessió aquí, però també us deixem els apunts per escrit, per si necessiteu una costella.
Continguts
1. Què és el RGPD
És un reglament que des del maig del 2018 legisla sobre la protecció de les dades per protegir la privadesa i les dades personals dels ciutadans de la UE. Estableix regles sobre la recopilació i el tractament d'aquestes dades, els atorga control als individus sobre allò que volen compartir i imposa mesures de seguretat a les empreses, persones i organitzacions sota pena de sanció si les incompleixen.
El RGPD va néixer, en definitiva, per evitar males praxis com la compravenda de dades personals dels clients o usuaris, siguin aquests particulars, autònoms, empreses o altres organitzacions.
Concretament, pel que fa a una pàgina web, aquest reglament repercuteix en cinc aspectes:
1.consentiment informat
Si volem utilitzar dades d'un client o un usuari per a pràctiques com enviar-vos una newsletter, enviar-vos informació per correu electrònic, trucar-vos, etc., cal que accepteu o rebutgeu cadascuna d'aquestes accions de manera individualitzada: el reglament no accepta l'autorització a bloc de totes les pràctiques (amb un únic comprovar). A més, si l'usuari canvia d'opinió en qualsevol moment, ens ha de poder indicar les preferències sense traves.
Daltra banda, un aspecte fonamental del consentiment és laccessibilitat de la informació. En altres paraules, tota la informació relativa a l'ús de dades personals no pot estar oculta ni ser molt difícil de trobar. Al contrari, ha d'estar visible sense dificultats, i s'ha d'exposar clarament i amb un llenguatge que el públic objectiu pugui entendre. Per tant, el RGPD també afecta qüestions de disseny com els botons (l'opció per rebutjar ha de tenir la mateixa mida i color que la d'acceptar), així com la traducció dels textos legals, que han d'estar disponibles a l'idioma dels usuaris.
2. Política de privadesa i cookies transparent
Hem d'informar sobre el que farem exactament amb les dades i galetes, i on, com i quant de temps les guardem. En aquest sentit, com a propietaris d'una pàgina web, hem de disposar dels mitjans necessaris perquè les dades estiguin ben protegides —per exemple, que l'ordinador on estan guardades tingui una clau privada, que el fitxer amb les dades estigui xifrat— i explicar com estem protegint-los.
3. Gestió de cookies
A la nostra pàgina web, hem de informar sobre les cookies que instal·la la nostra pàgina web. Cal especificar tots els tipus que fem servir i permetre que l'usuari accepti o rebutgi cada classe de cookies. No es pot instal·lar cap galeta fins que l'usuari accepti explícitament aquesta acció.
4. Seguretat i control de les dades
Hem de mantenir un registre actualitzat (conegut com log) de tots els consentiments:
- Data i hora: el moment exacte en què es va obtenir el consentiment.
- Descripció de la finalitat: per què s'està sol·licitant el consentiment?
- Mètode dobtenció: com es va obtenir el consentiment (formulari, casella de verificació, una signatura digital, etc.).
- Text del consentiment: missatge exacte signat per l'usuari, com ara una declaració del tipus «Accepto rebre correus electrònics promocionals».
- Identificació de lusuari: mitjançant un identificador únic o el nom dusuari.
- Emmagatzematge segur: mètode per assegurar que els registres de consentiment no puguin ser alterats.
Aquest document de registre s'ha de guardar en un format fàcilment accessible, per poder-lo presentar en cas que ens ho sol·liciti alguna agència estatal de protecció de dades.
4. Drets dels usuaris
Els usuaris tenen una sèrie de drets: accedir a la seva informació, poder eliminar totes les dades que n'hem emmagatzemat, etc.
A la pàgina web, cal informar de tots aquests drets i explicar què és el que ha de fer l'usuari si vol reclamar qualsevol d'aquests drets: per exemple, com pot un usuari demanar-nos que esborrem les seves dades?
Totes les pàgines web han de complir aquests requisits?
Avui dia, pràcticament totes les pàgines web han de complir el RGPD; no obstant això, hi ha una excepció: si la web no instal·la cookies ni ven res, si no es reclama cap identificació als usuaris ni ofereix cap servei com un butlletí, és a dir, si només publica informació i no té formularis, no cal disposar d'avís de galetes ni política de privadesa i galetes.
Compte! Si no hi ha formulari, però sí que s'ofereix una adreça electrònica perquè els usuaris puguin posar-se en contacte, no caldrà política de cookies, però s'hauran de complir les lleis locals en matèria de privadesa i protecció de dades, per a això és recomanable disposar dassessoria legal.
No saps si la teva pàgina web fa servir cookies?
La gran majoria de les pàgines web fan servir cookies: si utilitzeu Google Analytics per monitoritzar el trànsit, la vostra web té cookies que els usuaris han d'acceptar o rebutjar.
Si no ho tens clar, ho pots comprovar amb qualsevol d'aquests mètodes:
- Opció «Inspeccionar» (Chrome o Firefox):
- Entra a la pàgina web i, a qualsevol lloc, clica el botó dret del ratolí.
- Al menú emergent, cliqueu «Inspeccionar» o «Inspeccionar element». S'obrirà un panell a la part inferior de la finestra. Aquest panell es diu consola de desenvolupament.
- A la consola, cerqueu la pestanya «Emmagatzematge» (a Firefox) o «Application» (a Chrome).
- Dins d'aquesta pestanya, veureu una opció anomenada «Cookies» que mostra les cookies que utilitza el lloc web.
- Eines en línia:
- Hi ha programes com Sitechecker.pro que enumeren les galetes que guarda un lloc web.
Sancions per incompliment
La Agència Espanyola de Protecció de Dades (AEPD) és l'organisme encarregat de garantir el compliment de les normatives de protecció de dades i vetllar per la privadesa dels ciutadans.
L'objectiu de l'AEPD no és recaptatori, és a dir, no es dediquen a escanejar webs a l'atzar per veure si poden multar algun autònom, consultoria, gestoria… Les auditories d'ofici que duen a terme solen ser grans empreses, perquè les vulnerabilitats que poden tenir són molt més grans.
Això no obstant, el RGPD és universal, per la qual cosa els autònoms i les petites empreses no estan exempts de complir-lo i poden ser investigats a causa de denúncies o altres raons.
En aquest cas, l'AEPD sol·licita els registres del tractament de dades personals per avaluar els detalls sobre quines dades recopilem, amb quin propòsit i com les processem. A més, verifica el banner de galetes per comprovar que es bloquegin abans d'obtenir el consentiment de l'usuari. També revisa detingudament les polítiques de privadesa, avisos legals i qualsevol altra documentació pertinent per analitzar si és transparent.
Si un inspector sol·licita els registres de consentiment i l'empresa no en té o aquests són incomplets, les sancions varien segons la gravetat de la infracció, que es determina avaluant factors com la intencionalitat, la cooperació, la naturalesa de les dades afectades i la durada de la infracció. La mala fe o la manca de diligència poden augmentar la gravetat de la sanció:
- Infraccions greus: si no es poden proporcionar els registres de consentiment o estan incomplets. Les sancions oscil·len entre 600 i més de 60 euros.
- Infraccions molt greus: si la manca de registres de consentiment afecta greument els drets dels interessats o incompleix principis fonamentals del RGPD. Les sancions són significativament més altes i es calculen en funció de la gravetat i la naturalesa de la infracció.
- Cada país té les seves normes concretes
El RGPD és una normativa europea que posa uns mínims legals que han de complir tots els Estats membres, però, a partir d'aquí, cada país legisla de la manera que considera que protegeix millor els seus ciutadans.
Per exemple, el RGPD estableix que l'edat mínima per poder donar el consentiment legal, sigui sobre les galetes o sobre la política de privadesa, són 13 anys. Tot i això, cada país ha fixat l'edat que considera: a Espanya i Itàlia són 14 anys; a França, 15, ia Portugal, 16.
Passa el mateix en altres parts del món. Per tant, si un negoci ven als Estats Units, també ha de complir les lleis de protecció de dades del país nord-americà.
Com saber quines lleis de protecció de dades estatals cal complir?
Per saber quines lleis hem de complir, hem de tenir en compte els punts següents:
- On és registrada la meva empresa o entitat?
- On ofereixo els meus productes o serveis?
- On tinc activitat?
Posem un exemple: Tinc una empresa de material mèdic amb domicili a Madrid que només venia a centres dels Estats Units, però fa poc ha començat a fer enquestes i sondejos a hospitals de Llatinoamèrica (Perú i Brasil) per trobar nous clients.
En aquest cas, hauré de complir les normatives següents:
- Espanya: Perquè la meva empresa té la seu a Espanya.
- Estats Units: Perquè els meus compradors estan basats en aquest país.
- Perú i Brasil: Perquè el meu projecte implica contactes amb organitzacions dels països esmentats.
Important: En publicar-se a Internet, totes les pàgines estan visibles a qualsevol lloc del món, però això no vol dir que hàgim de complir totes les lleis. Només cal ajustar-se a la normativa a) del país on està registrada la meva empresa, b) dels països on embeno i c) dels països on tinc activitat.
3. La meva web compleix el RGPD?
Aquests són els aspectes clau que cal revisar per saber si la nostra pàgina web compleix la normativa sobre protecció de dades.
3.1. Pop-up de cookies configurable
Si fem servir cookies, obligatòriament el primer que té a veure algú quan entra a la nostra pàgina web és una finestra o avís sobre les cookies: en aquest missatge hem de facilitar a l'usuari l'opció d'acceptar-les, rebutjar-les o informar-se'n més detalladament i configurar les seves preferències desglossades .
Important: l'antic banner informatiu «Aquesta pàgina fa servir galetes i si segueixes navegant acceptes que s'instal·lin…» no és legal des de l'entrada en vigor del RGPD. Actualment, cal bloquejar les galetes fins haver obtingut el consentiment explícit de l'usuari.
3.2. Política de privadesa i cookies visible i accessible
A la pàgina web, hi ha d'haver una política de privadesa i de cookies. De vegades es publiquen juntes en un sol document, de vegades per separat. En tot cas, totes dues han d'estar ben visibles, normalment al peu de pàgina, i s'han de presentar de forma clara, possiblement en apartats, explicant amb un llenguatge transparent què fem amb les dades i quines cookies utilitzem, per a què i quant de temps i de quina manera s'emmagatzemen.
3.3. Comerç electrònic: termes i condicions
Només si venem per Internet, és a dir, si tenim una botiga en línia, haurem de publicar també les nostres condicions de venda, és a dir, el contracte en què expliquem els termes de la transacció: quant de temps triguem a manar els productes, quina és la política de devolucions, etc.
3.4. Formulari: check per acceptar privadesa i registre de consentiments
Si en algun lloc de la pàgina web hi ha un formulari, per exemple, per donar-se d'alta com a usuari o per rebre una newsletter, és imprescindible afegir una casella al mateix formulari perquè l'usuari accepti de manera explícita el registre a cadascuna de les possibles accions: registrar-se, rebre la newsletter, rebre correus amb ofertes, participar en enquestes, etc.
Tota aquesta informació –qui no ha acceptat, qui sí i què ha acceptat exactament– ha de quedar emmagatzemada en un format que puguem compartir si ens ho requereix l'AEPD.
3.5. Textos legals traduïts als idiomes de la web
Si oferim la nostra web en diverses llengües, per exemple, espanyol, anglès i francès, els textos legals (l'avís de galetes, la política de privadesa i de galetes, els termes i condicions —si escau—, les caselles de consentiment, etc. ) també han d'estar disponibles en aquestes llengües.
4. Plans RGPD de Nominalia
Per assegurar-se que una pàgina web compleix el RGPD, hi ha moltes opcions: contractar un expert o una agència, utilitzar plantilles en línia o implementar els canvis per compte propi, per exemple, amb plugins com el d'Iubenda o els recursos gratuïts que la pròpia AEPD ofereix a la seva pàgina web.
A Escola d'Internet, en trobaràs diversos articles sobre protecció de dades a Internet que us poden servir de guia per aplicar els canvis. Tot i això, el repte no és només generar els textos legals, sinó ajustar-se a tots els països pertinents i mantenir-se al dia dels canvis legislatius.
Per això, la nostra recomanació és una solució global com els plans RGPD de Nominalia. Aquests plans us ofereixen accés a una eina d'IA que:
- Redacta textos legals clars i personalitzats per a la teva activitat, on s'informa extensament i es demana consentiment a l'usuari.
- Actualitza la informació legal de la teva web automàticament tenint en compte qualsevol novetat a les lleis dels països on està present el teu negoci o entitat.
- Escaneja diàriament la teva web per comprovar que els textos legals s'ajusten als canvis que vagis introduint a la teva pàgina.
- Ofereix un tauler de control central des del qual pots accedir a tots els consentiments, de manera que els puguis presentar a l'autoritat competent si te'ls sol·liciten.
trobaràs aquí tots els detalls sobre els plans RGPD de Nominalia. Tens la teva web o domini en un altre proveïdor? Cap problema: posa't en contacte i t'expliquem com gestionar-ho.