Las sanciones RGPD por incumplimiento en la página web
Desde que entró en vigor el Reglamento General de Protección de Datos o RGPD en 2018, muchos parecen haberse olvidado del RGPD, pero el RGPD desde luego, no se ha olvidado de nosotros, y las sanciones a páginas webs no han parado de crecer, aunque esto no salga en las noticias.
Vamos a revisar los errores más comunes que pueden comprometer tu web y tu organización y las sanciones que la Agencia Española de Protección de Datos (AEPD) está imponiendo.
Aquí las cuestiones más importantes:
¿El cumplimiento de tu web puede esperar?
Que tu web cumpla con las exigencias normativas NO puede esperar.
A todos nos pasa: tendemos a solucionar lo urgente en detrimento de lo importante, sobre todo en tiempos tan volátiles como los que vivimos actualmente.
En pleno siglo de visibilidad digital, para obtener visibilidad, posicionamiento, conseguir leads, convertir, es más importante que nunca el cumplimiento de tu web, para no comprometer la continuidad y la supervivencia de tu negocio y de tu marca.
Asumir la responsabilidad referente al tratamiento de la información personal que recoges en tu web implica una transformación de visión y cultura que impactará en tu estrategia y especialmente, en tu web.
Aquí puedes descubrir todos esos cambios y cómo puedes adaptar tu web al RGPD:
No creo que me puedan sancionar
¿Quién se va a fijar en mi web?
¿Quién va a denunciar a una web normalita como la mía?
Si te fijas en tu web y/o tu landing page, verás que estás recogiendo datos de otras personas, los almacenas, los metes en tu funnel, mandas nuevas campañas, segmentas, sin ser consciente de que todos esos datos están sujetos a derechos que desconoces y que incumples.
Y así, tu web y tus campañas te están delatando como infractor.
Y ser infractor significa poder ser sancionado.
¿Cómo puedo recibir una sanción por incumplimiento RGPD en mi web?
Solo hace falta que un usuario entra un web, identifica que no cumple, y envía unas capturas de pantalla a la sede electrónica de denuncias telemáticas de la AEPD.
La carta que recibes…
Si, existen muchos ejemplos de cartas, enviadas por la AEPD, de sanciones reales a webs, webs muy normalitas, donde podemos ver los errores cometidos en cada caso.
Como las sanciones son públicas, las puedes consultar en la web de la propia agencia.
- No poseer política de privacidad ni especificar el tratamiento que se realizará en el formulario de contacto:
“El reclamado ha vulnerado la normativa sobre protección de dato materializado en la inapropiada y defectuosa configuración de la página web en lo relativo a la información ofrecida en materia de protección de datos de aquellas personas accedían y se registraban en la misma, tal como señala el reclamante, careciendo de política de privacidad y aviso legal.
Además, la página web XXXXXXXX, contenía formulario para la recogida de datos de los usuarios, sin hacer referencia alguna al cumplimiento de lo establecido de conformidad con lo señalado en el artículo 13 del RGPD anteriormente citado, en el sentido de determinar la identidad del responsable, los fines a los que se destinaran los datos y los derechos que el interesado puede ejercitar ante el responsable, etc.
Los hechos expuestos son constitutivos de una infracción imputable al reclamado, por vulneración del artículo 13 del RGPD.”
- No recoger el consentimiento previo en los formularios:
- No poseer política de privacidad, no identificar al responsable en el aviso legal y no aportar información en los formularios
En este caso, la AEPD, constata que:
- No consta la existencia de una política de privacidad.
- No consta la identificación del responsable.
- Se permite la creación de cuentas de usuario donde, entre otros, se recogen los datos de nombre, apellidos, dirección de correo electrónico y contraseña, así como se da la opción de marcar “Recibir ofertas de nuestros socios” y “Suscribirse a nuestro boletín de noticias”.
- Existe un formulario de contacto donde se introducen los datos de correo electrónico y el mensaje.
- Existe información de contacto siendo ésta exclusivamente una dirección postal, un teléfono de contacto y un correo electrónico de contacto.
“Se tiene en cuenta que el reclamado recoge datos personales de los usuarios que cumplimentan el formulario incluido en el sitio web ***WEB.1 sin proporcionarles, con carácter previo a su recogida, toda la información en materia de protección de datos prevista en el artículo 13 del reseñado RGPD.
De conformidad con las evidencias de las que se dispone en el presente momento de acuerdo de inicio del procedimiento sancionador, y sin perjuicio de lo que resulte de la instrucción, los hechos expuestos podrían constituir, por parte del reclamado, una infracción a lo dispuesto en el artículo 13 del RGPD.”, en este caso, impone a la empresa una sanción de 1500€.
- Carecer de Política de Cookies y su correspondiente pestaña emergente informativa y no identificar al responsable:
Aquí, la AEPD hace constar:
Consultada la página web reclamada, con fecha ***FECHA.1, se observa que, el sitio web no dispone de aviso sobre la instalación de cookies ni política sobre ellas, aunque instala una cookie con el contenido de la cesta de la compra en el equipo del visitante. No dispone de “aviso legal” y no se puede identificar al responsable de la página web ni al responsable del tratamiento de datos por carecer de información al respecto.
- No incluir enlace a la política de privacidad en el formulario de venta/contacto:
La AEPD hace constar:
Consultada la página web XXXXXXX , con fecha 21/10/19, se observa que se observa que para realizar un pedido de los productos que publicita, se debe introducir los datos personales del interesado, careciendo de cualquier tipo de banner o link a la “política de privacidad” de la página.
¿Cómo adaptar tu web y evitar estas sanciones de forma sencilla?
En primer lugar, cumplir con la normativa para la página web no significa que tu empresa / organización esté cumpliendo con la normativa de protección de datos. Para ello, hace falta un trabajo más exhaustivo, elaborando un análisis, contratos de encargo de tratamiento, contratos de consentimiento, etc.
Puedes realizar una pequeña autoevaluación gratuita a través de nuestro formulario:
https://dataprotectplus.com/auditoria-gratuita/
Y si aún tienes dudas y necesitas un servicio de protección de datos, puedes contactarnos por email info@dataprotectplus.com o en el teléfono 965 038 463.