Cómo hacer que su sitio web sea compatible con GDPR
Publicado: 2021-07-19Los requisitos de GDPR continúan aplicándose durante el período de retiro del Brexit del Reino Unido y para todas las empresas que comercian con la UE. Aquí hay 10 cambios que debe realizar en su sitio web ahora para mantenerse en el lado correcto de la ley y mantener contentos a sus clientes.
En esta publicación, quiero cubrir específicamente el área limitada de cómo hacer que su sitio web sea compatible con GDPR y hacer recomendaciones para los cambios específicos que deberá realizar.
¿Qué pasa con el Brexit y 2020? ¿El RGPD sigue siendo un requisito?
El Reglamento General de Protección de Datos (GDPR) se aplica a todas las empresas con sede en la UE y a aquellas con ciudadanos de la UE como clientes. Para las empresas del Reino Unido, el acuerdo de retirada del Brexit no modificará la necesidad de cumplir durante el período de transición, y tampoco cambiarán los requisitos para las empresas que comercian dentro de la UE.
Además, el Reino Unido se compromete a mantener los altos estándares del GDPR (y el gobierno planea incorporarlo a la ley del Reino Unido después del Brexit).
La normativa actual del RGPD entró en vigor el 25 de mayo de 2018.
Es interesante considerar la aplicación de las regulaciones de GDPR, y el sitio web de Rastreador de cumplimiento de GDPR proporciona una lista y una descripción general de las multas y sanciones que las autoridades de protección de datos dentro de la UE han impuesto en virtud de GDPR.
Primero, tengo que decir que no soy un profesional legal, y segundo, este es un análisis superficial. En el momento de escribir este artículo, la base de datos contiene
- 16 casos de multas y sanciones en los que el resumen contiene la palabra "web", incluido un caso en diciembre de 2019 relacionado con un operador de un sitio web de noticias legales, tenían la declaración de privacidad solo disponible en inglés, aunque también estaba dirigida a un holandés y un francófono audiencia.
- 5 casos en los que el resumen contiene la palabra "correo electrónico", incluido un caso en 2019 en el que Vodaphone envió un correo electrónico de marketing a una gran cantidad de destinatarios (clientes) sin utilizar la función de copia oculta. La multa inicial de 60 000 euros se redujo a 36 000 euros.
Por un lado, esta no es una gran cantidad de enjuiciamientos por incumplimiento, pero combina este riesgo con la mayor sensibilidad del procesamiento de datos personales y la conciencia de esto como un problema, y el cumplimiento de GDPR se convierte no solo en un requisito legal, sino también buen sentido comercial.
¿Cómo afecta el GDPR a los planes y la funcionalidad de mi sitio web?
GDPR tiene un impacto significativo en los requisitos del sitio web, lo que tendrá un efecto dominó en la forma en que su sitio web se integra con su otra actividad digital, como el marketing por correo electrónico, las redes sociales y las actividades de comercio electrónico.
El hilo de oro que une todas estas recomendaciones es que bajo el RGPD se está fortaleciendo el concepto de consentimiento libre, específico e informado , con nuevas reglas, lo que significa que empresas como la nuestra deben brindar más transparencia.
Aquí hay 10 pasos que querrá revisar para su sitio web y discutir los cambios necesarios con su equipo de desarrollo web. Cualquier pregunta, no dude en ponerse en contacto conmigo.
Comencemos con los cambios sencillos que deberá realizar y luego pasemos a las áreas más complejas.
1. Formularios: habilitación activa
Los formularios que invitan a los usuarios a suscribirse a boletines informativos o que indican preferencias de contacto deben estar en blanco por defecto o en "no". Deberá verificar sus formularios para asegurarse de que este sea el caso.
Como ejemplo, el formulario de registro de Boots actual previo al cumplimiento del RGPD marcó la casilla de suscripción, lo que obligó al usuario a excluirse activamente. Muy travieso, mala experiencia de usuario y debe cambiarse antes de mayo.
En 2020, ese formulario ahora se ha desmarcado según los requisitos de GDPR
Por otro lado, diría que Sainsbury's no me está brindando una gran experiencia al asumir una suscripción voluntaria y obligarme a marcar la casilla para excluirme. Yo diría que podrían estar navegando cerca del viento en eso, y definitivamente no me están deleitando como cliente potencial:
2. Opt-in desagregado
El consentimiento que solicita debe establecerse por separado para aceptar los términos y condiciones, y la aceptación del consentimiento para otras formas de usar los datos.
En este ejemplo, Sainsbury's estableció claramente la aceptación de sus términos y condiciones, y estableció por separado la opción activa para sus permisos de contacto.
Es una pena que Sainsbury's no haya tenido la opción de ser más granular en términos de preferencias de suscripción de comunicación (correo electrónico, SMS, publicación).
3. Opt-in granular
Los usuarios deben poder otorgar un consentimiento por separado para diferentes tipos de procesamiento.
En este ejemplo, los Premios ABC solicitan un permiso específico para cada tipo de procesamiento (correo postal, correo electrónico, teléfono) y también solicitan permiso para los detalles anteriores a un tercero.
4. Fácil de retirar el permiso o darse de baja
Debe ser tan fácil retirar el consentimiento como otorgarlo, y las personas siempre deben saber que tienen derecho a retirar su consentimiento.
En términos de su experiencia de usuario web, esto significa que la cancelación de la suscripción podría consistir en retirar selectivamente el consentimiento a flujos de comunicación específicos:
O cambie fácilmente la frecuencia de comunicación o detenga todas las comunicaciones por completo:
5. Partes designadas
Sus formularios web deben identificar claramente a cada una de las partes para las que se otorga el consentimiento. No es suficiente decir categorías definidas específicamente de organizaciones de terceros. Necesitan ser nombrados.
En este ejemplo, puede ver que John Lewis comprende la esencia de que necesitamos otorgar permisos con nombre para las actualizaciones de Waitrose, John Lewis y John Lewis Financial Services.
Anteriormente, el formulario pedía a los usuarios que optaran por no participar en lugar de hacerlo :
6. Aviso de privacidad y términos y condiciones
La Oficina del Comisionado de Información (ICO) ha proporcionado amablemente un ejemplo de aviso de privacidad que puede utilizar en su sitio web. Es conciso, transparente y de fácil acceso.
También deberá actualizar sus términos y condiciones en su sitio web para hacer referencia a la terminología del RGPD. En particular, deberá aclarar lo que hará con la información una vez que la haya recibido y durante cuánto tiempo conservará esta información tanto en su sitio web como en los sistemas de su oficina.
También deberá comunicar cómo y por qué está recopilando datos. Su política de privacidad deberá detallar las aplicaciones que está utilizando para rastrear la interacción del usuario.
7. Pagos en línea
Si tiene una empresa de comercio electrónico, es probable que utilice una pasarela de pago para transacciones financieras. Su propio sitio web puede estar recopilando datos personales antes de pasar los detalles a la pasarela de pago.
Si este es el caso, y su sitio web almacena estos datos personales después de que la información se ha transmitido, deberá modificar sus procesos web para eliminar cualquier información personal después de un período razonable, por ejemplo, 60 días. La legislación GDPR no es explícita sobre el número de días, es su propio juicio en cuanto a lo que se puede defender como razonable y necesario.
8. Software de seguimiento de terceros
Las cosas ahora comienzan a complicarse cuando se trata de software de seguimiento de terceros.
Muchos sitios web utilizan soluciones de software de automatización de marketing de terceros en su sitio web. Estas pueden ser aplicaciones de seguimiento de clientes potenciales como Lead Forensics, Leadfeeder o CANDDI. O podrían ser aplicaciones de seguimiento de llamadas como Infinity Call Tracking o Ruler Analytics.
El uso de estas aplicaciones de seguimiento plantea algunas preguntas muy interesantes en términos de cumplimiento de GDPR y, en mi opinión, esto sigue siendo un área gris. A primera vista, estas aplicaciones rastrean a los usuarios de formas que no esperarían y para las que no han otorgado su consentimiento. Por ejemplo, está rastreando mi comportamiento cada vez que regreso a su sitio web o veo una página específica en su sitio.
Sin embargo, los proveedores de estas aplicaciones nos aseguran que cumplen con el RGPD.
En primer lugar, los proveedores como CANNDI están advirtiendo que los banners que indiquen clara e inequívocamente que se están utilizando cookies,
Y los proveedores de software argumentan que el uso de la tecnología de seguimiento de cookies es de interés legítimo para su empresa como controlador de datos, y específicamente el considerando 47 permite el "procesamiento con fines de marketing directo o para prevenir el fraude".
CANNDI aconseja:
Interés legítimo: si utiliza el principio de interés legítimo en el seguimiento de su sitio web, es aconsejable que tenga en cuenta durante la preparación del RGPD que este es el caso. Esto debe incluir los motivos por los que lo está utilizando.
Quiero agradecer a CANNDI por compartir su perspectiva de GDPR, y le recomendaría que lo lea (PDF).
Los proveedores de estas herramientas confían en que cumplen con el RGPD. Pero si el software está haciendo algo ilegal, entonces es responsabilidad de su empresa como controlador de datos. La verdadera pregunta es identificar los riesgos de cumplimiento de GDPR al usar este tipo de software y mitigar sus riesgos como propietario de una empresa. Como resultado, debe revisar cuidadosamente su contrato con estos proveedores de software.
9. ¿Qué pasa con Google Analytics y Google Tag Manager?
Si está interesado en el compromiso de Google con el RGPD, un buen lugar para comenzar es este sitio web: Cómo cumple Google con las leyes de protección de datos
Muchos sitios web están configurados para utilizar Google Analytics para realizar un seguimiento del comportamiento del usuario. Google Analytics siempre ha sido un sistema de seguimiento anónimo. No se recopilan "datos personales", por lo que creo que el RGPD no afecta su uso.
Con respecto al Administrador de etiquetas de Google; es una herramienta poderosa que permite que su sitio web envíe información a aplicaciones de terceros insertando pequeñas cantidades de código. Puede integrar repositorios de datos internos, así como sistemas externos de remarketing y retargeting, y una gran cantidad de otros servicios. El problema para las empresas con respecto a Tag Manager es asegurarse de tener un contrato con las personas que tienen acceso a su Tag Manager (que bien puede ser su diseñador web o agencia de marketing digital) para asegurarse de que comprendan sus responsabilidades legales como un procesador de datos en su nombre como controlador de datos.
Por lo tanto, el problema subyacente con el nuevo GDPR es identificar y tener contratos vigentes con procesadores de datos de terceros para proteger sus propios intereses.
10. Y finalmente ... no es solo su sitio web el que debe cumplir con el RGPD
Los cambios que se están introduciendo con GDPR impregnarán todo su negocio y, en esta serie de artículos, nos centramos exclusivamente en su marketing digital.
A medida que comience a planificar los detalles de su sitio web, descubrirá una cueva de problemas de Aladdin que deberá considerar. El Comisionado de Información ha proporcionado un excelente conjunto de recursos para su referencia, pero aquí hay algunas preguntas clave para considerar ahora a medida que nos acercamos a la fecha límite de mayo:
- Probablemente tenga muchos datos personales almacenados en varios lugares de la empresa. ¿Tiene una buena comprensión y un registro documentado de los datos que posee?
- ¿Necesita obtener o actualizar el consentimiento para los datos que posee?
- ¿Tiene una política definida sobre cuánto tiempo conserva los datos personales, para no retenerlos innecesariamente y asegurarse de que se mantengan actualizados?
- ¿Sus datos se mantienen de forma segura, teniendo en cuenta tanto la tecnología como los factores humanos en la seguridad de los datos?
- Si usted es un controlador de datos o un procesador de datos (o ambos), ¿cuenta con los arreglos legales correctos?
Si necesita ayuda con su diseño web y creatividad, no dude en contactarnos.