A finales de mayo de 2018 entró en vigor el nuevo Reglamento General de Protección de Datos de la UE (GDPR). Se trata de un conjunto de normas aplicables a cualquier persona que recopile datos personales en el territorio de la UE, como correos electrónicos, direcciones IP, etc. Si tienes un blog y quieres entender cómo te afecta el GDPR para bloggers, estás en el lugar adecuado.
¿Significa eso que el nuevo reglamento también se aplica a los bloggers? Sí, sin excepciones.
«¿Me dicen que tengo que volver a pedir a todos mis lectores que se suscriban a mi lista de correo? ¿Y que tampoco puedo recopilar cookies?»
Internet está lleno de estos escenarios apocalípticos, pero la realidad es que el GDPR no es nada terrible. Solo hace falta ponerse manos a la obra. Hemos preparado una guía sobre qué cambiar en tu blog y cómo hacerlo para cumplir con el reglamento. También te explicamos qué hacer con tus suscriptores actuales.
AVISO. No somos abogados ni expertos en protección de datos. Todo lo que lees aquí es nuestra interpretación del GDPR desde el punto de vista de un blogger. Para elaborar esta guía nos basamos en el propio reglamento y en cómo otros han resuelto el tema. No tomes este artículo como consejo legal definitivo, sino como una orientación práctica para tu caso concreto. ¡Vamos allá!
El objetivo del GDPR es devolver al usuario (en el caso de un blog, al lector) un mayor control sobre sus datos. Así que cuanto más transparente seas en el tratamiento de datos y más control le des a tus lectores, más fácil te será cumplir con todos los requisitos.
Qué datos recopilamos de nuestros lectores como bloggers
Por «tratamiento de datos» la normativa europea entiende cualquier dato que recopiles sobre tus usuarios y la manera en que los gestionas. Los datos personales son aquellos que permiten identificar a una persona, directa o indirectamente: nombres, direcciones, números de teléfono, correos electrónicos, direcciones IP y otros identificadores. Por tanto, si haces o tienes en tu blog alguna de las siguientes cosas, el GDPR te afecta:
- Recopilas correos electrónicos, por ejemplo para enviar newsletters
- Tienes los comentarios activados en tus artículos (especialmente en WordPress)
- Haces seguimiento del comportamiento de los usuarios, por ejemplo con Google Analytics
- Tienes un formulario de contacto en tu blog
- Utilizas plugins que recopilan datos de los usuarios
- Organizas concursos o sorteos
#1 Usa casillas de verificación (u otra forma de consentimiento) siempre que el lector te facilite datos
Cada vez que obtengas datos personales de un lector, debes hacerlo con su consentimiento explícito. Además, al facilitar sus datos, el lector debe tener claro para qué los vas a utilizar. Si alguien te da su correo para recibir novedades, debe aceptar expresamente que desea recibirlas.
La opción más sencilla es añadir una casilla de verificación con la que el lector dé su consentimiento de forma clara. Es un poco más laborioso, pero te cubre en todos los frentes. En nuestro blog Loudavým Krokem lo hacemos así:
La segunda opción es incorporar el consentimiento directamente en el botón de acción. Por ejemplo, al registrarse en un curso, el usuario confirma su consentimiento al pulsar el botón de inscripción.
TEXTO DE EJEMPLO
Para facilitarte las cosas, hemos preparado un texto de muestra. Sustituye los puntos suspensivos por una descripción de lo que enviarás a tus lectores por correo electrónico, y enlaza la última frase con tu política de privacidad.
TEXTO DE MUESTRA PARA EL CONSENTIMIENTO: Al pulsar el botón «Acepto…», consientes que te enviemos …………… Si en algún momento no deseas seguir recibiendo nuestros correos, puedes darte de baja y revocar este consentimiento en cualquier momento a través del enlace de cancelación que encontrarás en cada correo electrónico. Más información sobre nuestra política de privacidad aquí.
Si utilizas formularios estándar de WordPress, basta con instalar el plugin WP GDPR Compliance. Si recopilas correos a través de Mailchimp, ConvertKit u otros servicios, encontrarás la solución directamente en sus plataformas.
El plan de acción es sencillo: debes tener registrado, para cada lector, cómo y cuándo te otorgó el consentimiento para el envío de correos.
#2 Si quieres estar completamente cubierto, utiliza el doble opt-in como confirmación del consentimiento
Aunque el GDPR no lo exige de forma explícita, es muy recomendable usar el doble opt-in. Después de que alguien se suscriba a tu newsletter o a un curso, le enviamos un correo con un botón de confirmación para que verifique que realmente quiere recibir nuestros mensajes. Si no confirma, no lo añadimos a la lista. ¿Para qué sirve esto?
- Doble confirmación del consentimiento para el envío de mensajes
- Nos aseguramos de que el lector tiene un interés real en nuestro contenido
- Si cometieron un error al introducir su correo, no añadimos una dirección inválida a nuestra base de datos
Así es como se ve un correo de doble opt-in:
Solo después de hacer clic en el botón se añade el correo a la base de datos y se activa la secuencia de correos. Los datos personales de los usuarios que no otorguen su consentimiento deben eliminarse de la base de datos sin demora indebida.
#3 Prepara una Política de Privacidad conforme al GDPR y publícala en tu web
Crear una Política de Privacidad es lo que más suele asustar a la gente. Pero no te preocupes, porque hemos preparado una plantilla en la que solo tienes que rellenar los datos necesarios. Así se ven las nuestras. Debes crear una Política de Privacidad para cada blog que gestiones y enlazarla desde el menú (puede estar en un desplegable). ¿Qué debe incluir?
- Quién es el responsable del tratamiento de datos personales
- Qué datos tratas y con qué finalidad
- A quién más se transmiten esos datos
- Cómo proteges los datos
- Los derechos de los lectores
En el documento de muestra hemos señalado dónde debes añadir tu información y hemos incluido comentarios que explican qué escribir en cada apartado. 🙂
#4 Informa a tus suscriptores actuales de que cumples con el GDPR, o solicita su consentimiento
Y ahora llegamos al momento clave. Probablemente tengas en tu base de datos decenas, cientos o incluso miles de correos. ¿Qué hacer con ellos? ¿Debes enviarles de nuevo un formulario de registro para que acepten expresamente? ¿O puedes dejarlo como está? Depende de la calidad con la que hayas recopilado esos correos hasta ahora.
- Has recopilado los correos con una finalidad concreta y la has cumplido
Si hasta ahora has recopilado correos de la forma que exige el GDPR, no necesitas volver a solicitar el consentimiento. Recopilar según el GDPR significa que puedes demostrar cuándo, cómo y con qué finalidad el lector te dio su consentimiento y facilitó su correo.
En ese caso, a nuestro entender basta con comunicar a los suscriptores actuales lo siguiente:
- Cómo obtuviste sus datos (dónde se registraron)
- Para qué usas esos datos (qué les envías)
- Que a partir de ahora tratas los datos conforme al GDPR
- Cómo pueden darse de baja
Así lo hicimos nosotros:
- Has recopilado correos mediante formularios genéricos (u otros métodos), envías contenido para el que el lector no se suscribió expresamente, o no cumpliste otros requisitos en la recogida de datos
Si tu conciencia no está del todo tranquila porque recopilaste correos sin consentimiento explícito, o porque envías todo tipo de correos a toda tu base de datos, tendrás que obtener el consentimiento explícito de cada lector. Es decir, si quieres seguir haciéndolo.
Ese fue también nuestro caso: en Loudavým Krokem recopilamos correos principalmente a través de concursos y sorteos de viaje, y nunca comunicamos claramente a los lectores que al participar también se suscribían a nuestra newsletter. Por eso les pedimos consentimiento explícito para todo lo que planeamos enviarles:
Al hacer clic, llegan a una página donde deben marcar una casilla para confirmar que aceptan expresamente el envío de comunicaciones.
#5 Si etiquetas a tus lectores y recopilas correos desde varios formularios, planifica bien tu estructura
No nos resultó sencillo integrar el GDPR en nuestra estructura de formularios, porque utilizamos muchos. Tenemos varias categorías de interés en las que los lectores pueden registrarse, y vamos etiquetando a todos los suscriptores según sus intereses para enviarles contenido relevante.
A algunos les interesan las criptomonedas, a otros el marketing online o el emprendimiento digital. Si alguien se registra en un curso de criptomonedas, según el GDPR no podemos enviarle, por ejemplo, un artículo sobre cómo promocionar un blog en Instagram. Por eso es fundamental llevar un registro de quién ha dado qué tipo de consentimiento. Te recomendamos que dibujes un mapa que te permita verlo de un vistazo. Así es el nuestro:
Como puedes ver, hemos añadido el doble opt-in de GDPR a todos los formularios de entrada mediante los cuales un lector puede suscribirse a nuestra base de datos de correo electrónico.
#6 El «interés legítimo» y cómo utilizarlo
En el marco del GDPR se trabaja con el concepto de «interés legítimo», que es una excepción que puedes invocar para el envío de correos electrónicos.
Por ejemplo, si alguien te compra una guía de viaje, puedes asumir razonablemente que tendrá interés en recibir novedades de tu tienda, y por tanto añadirle a tu lista de newsletter. Es un caso de interés legítimo en el contexto del marketing directo.
Aun así, ten cuidado con el interés legítimo: su definición es bastante vaga y, en nuestra opinión, es mejor utilizarlo lo menos posible y solicitar siempre el consentimiento explícito para el envío de comunicaciones.
#7 El uso de cookies y herramientas como Google Analytics
Si utilizas herramientas analíticas para rastrear el comportamiento de los usuarios en tu blog, como Google Analytics, el GDPR también te afecta.
Cuando un lector visita tu web por primera vez, Google Analytics descarga cookies en su navegador que ayudan a Google a rastrear el comportamiento del usuario. Las cookies recopilan datos personales en forma de identificadores que pueden usarse potencialmente para la identificación indirecta de una persona.
Por este motivo, debes informar a los usuarios de que recopilas cookies. Y no solo eso: también deben saber qué datos recopilas, para qué los utilizas y cómo pueden rechazar o eliminar las cookies.
La forma más sencilla es usar un plugin (si utilizas WordPress):
La información sobre las cookies también debe figurar en tu Política de Privacidad.
#8 Los lectores pueden solicitar toda la información que tienes sobre ellos
Según el GDPR, los usuarios tienen el nuevo «derecho de acceso» a la información que posees sobre ellos.
Asegúrate, por tanto, de tener acceso a esos datos. No solo deberás ser capaz de exportar registros sobre cuándo y cómo se suscribió el usuario y qué correos le enviaste, sino también información sobre su comportamiento en la web, por ejemplo la obtenida a través de Google Analytics.
Por suerte, Google ha preparado herramientas que puedes utilizar para ello, incluida la posibilidad de eliminar los datos recopilados sobre cualquier usuario.
Resumen
El GDPR no es tan terrible como parece. A nosotros incluso nos ayudó a organizar mejor nuestras bases de datos de correo, mejorar su seguridad y eliminar suscriptores inactivos. ¿Qué pasos debes seguir para cumplir con los requisitos del GDPR?
- Redactar una Política de Privacidad
- Tener el consentimiento explícito de cada contacto para el tratamiento de sus datos con una finalidad concreta
- Ser capaz de demostrar cuándo y cómo otorgó el lector su consentimiento
- Incluir en la Política de Privacidad información sobre otros encargados del tratamiento de datos personales
Nuestra plantilla para ayudarte a crear tu documento GDPR
La información que tardamos horas en recopilar no queremos guardárnosla solo para nosotros. Por eso hemos preparado un documento detallado con una plantilla de política de privacidad (GDPR) que solo tienes que rellenar para tenerla lista. Está lleno de notas y aclaraciones para que hasta el más novato pueda orientarse sin perderse. 👇
AVISO. No somos abogados ni expertos en protección de datos. Todo lo que lees aquí es únicamente nuestra interpretación del reglamento GDPR desde el punto de vista de un blogger. Para elaborar esta guía nos basamos en el propio reglamento y en cómo otros han afrontado el tema. Hemos revisado la forma en que varios bloggers y comerciantes online —grandes y pequeños— han resuelto su cumplimiento con el GDPR. No tomes este artículo como consejo legal definitivo, sino como una orientación práctica para tu caso concreto.
Tipy a triky pro vaší dovolenou
Nepřeplácejte za letenky
Letenky hledejte na Kayaku. Je to náš nejoblíbenější vyhledávač, protože prohledává webové stránky všech leteckých společností a vždy najde to nejlevnější spojení.
Rezervujte si ubytování chytře
Nejlepší zkušenosti při vyhledávání ubytování (od Aljašky až po Maroko) máme s Booking.com, kde bývají hotely, apartmány i celé domy nejlevnější a v nejširší nabídce.
Nezapomeňte na cestovní pojištění
Kvalitní cestovní pojištění vás ochrání před nemocí, úrazem, krádeží nebo stornem letenek. Pár návštěv nemocnic jsme v zahraničí už absolvovali, takže víme, jak se hodí mít sjednané pořádné pojištění.
Kde se pojišťujeme my: SafetyWing (nejlepší pro všechny) a TrueTraveller (na extra dlouhé cesty).
Proč nedoporučujeme nějakou českou pojišťovnu? Protože mají dost omezení. Mají limity na počet dnů v zahraničí, v případě cestovka u kreditní karty po vás chtějí platit zdravotní výdaje pouze danou kreditní kartou a často limitují počet návratů do ČR.
Najděte ty nejlepší zážitky
Get Your Guide je obří on-line tržiště, kde si můžete rezervovat komentované procházky, výlety, skip-the-line vstupenky, průvodce a mnoho dalšího. Vždy tam najdeme nějakou extra zábavu!
