En la imagen aparece una mano que sale del agua intentando agarrar una cuerda para salvarse. Un filtro con el color corporativo a la derecha de la imagen destaca en palabras color blanco: ¿Qué medidas debes adoptar para que tu blog sobreviva al nuevo reglamento? - LEXblogger

¿Qué medidas debes adoptar para que tu blog sobreviva al nuevo reglamento?


Este es un punto clave si tienes un blog o una web y el que más trabajo de ajuste va a significar.

El nuevo reglamento exige que todo acto donde se soliciten datos personales, debe ir precedido por un requerimiento de consentimiento expreso.

Este consentimiento debe tener 3 características fundamentales para que sea legal:


  • Expreso: no vale el consentimiento tácito.

  • Específico: ligado a una finalidad concreta y no genérico.

  • Verificable: debes poder acreditar que lo has obtenido.


Di adiós a los formularios de suscripción, contacto, registro etc., que no incluyan mecanismos informativos claros y no requieran el consentimiento expreso de los usuarios.

Debes olvidarte por tanto de presuponer el consentimiento del usuario por inacción u omisión porque eso ya no será válido my friend.

El silencio, las casillas pre marcadas o la inacción del usuario al requerir datos personales no serán legales de cara al nuevo reglamento de protección de datos.


Y aquí la cuestión central más complicada que te afecta directamente: no basta solo con modificar todos los formularios de contacto y añadirles un check box: Debes coger todos los consentimientos tácitos que hayas obtenido hasta ahora y convertirlos en explícitos si quieres seguir trabajando con ellos.


Aquí sé que llegamos al punto más neurálgico y crítico para todos los que tenemos una lista de suscriptores. Porque si no te aseguras de reconvertir esa lista y conseguir un consentimiento expreso, cualquiera de ellos puede convertirse en un potencial peligro como tenga la mala leche de denunciarte.

Por otra parte, si tienes una inspección, deberás poder acreditar que cuentas con todos los consentimientos expresos de la gente cuya información personal administras.


¿Cómo puedes resolverlo técnicamente en tu web?


En los nuevos registros, no será muy complicado realizar el ajuste, los pasos serían los siguientes:

  1. Lo primero será revisar si los formularios de tu web o blog permiten obtener el consentimiento de forma adecuada comprobando que este consentimiento sea explícito, específico y verificable ¿tienes un check box en cada uno de tus formularios con un enlace a tu política de privacidad? Te recomiendo además del enlace a la política de privacidad, insertar una clausula legal visible debajo de cada formulario que exponga los puntos básicos y que esté sujeta a aceptación por parte del usuario antes de enviar sus datos. Esto te va a permitir acreditarlo debidamente con posterioridad.

  2. Deberás esmerarte en redactar y reforzar todas tus cláusulas informativas y tener más precisión al redactarlas, atendiendo a todos los puntos que el reglamento te exige informar.

  3. Deberás recordar que el consentimiento debe ser revocable en cualquier momento, por tanto, deberás facilitar un mecanismo para que los usuarios puedan perderte de vista fácilmente. Eso es sencillo en el caso de suscriptores, con clientes deberás garantizar la misma facilidad.

Si utilizas datos personales para marketing directo, será necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento y si realizas elaboración de perfiles, es mejor que te asegures de requerir un consentimiento específico para esta finalidad concreta.


¿Qué hacer para normalizar los registros antiguos al nuevo reglamento?


La única manera que veo viable es enviarles un boletín en donde les invites a confirmar su suscripción y otorgarte un consentimiento expreso, para eso, deberás conducirlos hacia tu nuevo formulario de suscripción y pedirles que marquen la casilla de consentimiento siguiendo las recomendaciones anteriores.

Debes ser consciente que vas a perder a muchos suscriptores por el camino, pero sin duda, se quedarán los que realmente quieran seguir a tu lado. Del resto tendrás que deshacerte, van a suponer un gran riesgo para tu negocio.

Se que desearías hacerme desaparecer del mapa. Pero recuerda que no hice la ley, soy tu aliado y solo te informo como salir a flote de cara al nuevo reglamento de protección de datos europeo.

La transparencia informativa del nuevo reglamento


La verdad y la transparencia a tus usuarios será un aspecto definitivo. Ya no valen las generalidades, los copia y pega de textos legales del vecino, el plugin de las cookies.

La llave de este camino es avanzar hacia un modelo más amable y ameno, que invite al usuario a leer los términos y condiciones legales de una web. Por eso será necesaria la creación de políticas de privacidad atractivas que motiven al usuario a su lectura en lugar de enfrentarlo a textos bombas e indescifrables.


Las políticas cercanas y amigables en el nuevo marco digital


Serían políticas friendly (como las denomina mi mentora y amiga Marina Brocca) más accesibles a tus usuarios, más claras y son fáciles de leer.

Deben invitar al usuario a leerlas en lugar de animarlo a salir corriendo como un gato del agua.

¿Crees que esto es posible?

Sí que lo es. Ponte en los zapatos de tus usuarios, empatiza con ellos. ¿Cómo te gustaría que fueran los textos legales de una web o blog que visitas a menudo? Ya sé que una cosa es decirlo y otra bien distinta llevarlo a la práctica, lo cierto, es que tienes que empezar a revisar tus textos legales y tus cláusulas informativas, todas deben ser personales y ajustadas a la realidad de tu web (no a la del vecino)

También deberás ofrecer mecanismos informativos suficientes para que toda información y comunicación relativa al tratamiento de datos personales sea fácilmente accesible y fácil de entender, y especialmente, que no se diluya en palabrería técnica que no hay quien la entienda sin diccionario.

Con todo lo dicho creo que está más claro que el agua, que no habrá lugar para las webs o blog que operen disfrazadas, ocultando información básica que los usuarios tienen derecho a conocer (según el nuevo reglamento EU), en especial, aquellos aspectos que afectan a la gestión que hacemos de su información personal.


¿Qué información debes asegurarte que los usuarios conozcan, antes de solicitarles que te faciliten sus datos?


El nuevo reglamento te obliga informar sobre todos los aspectos que afectan de manera directa o indirecta al tratamiento de los datos de las personas que te los facilitan. Es decir debes ser cuidadoso y detallista al máximo para que no se te vaya un alfiler.

Tus usuarios, deben ser advertidos e informados entre otras cosas sobre:


  1. La identidad del responsable de la gestión y si procede, del delegado de protección de datos, otra novedad que hasta ahora no existía esa figura. Una web que no proporcione información completa del responsable, no podrá considerarse nunca una web legal.

  2. La identidad de los destinatarios o las categorías de destinatarios de los datos personales, algo que muy poquitos hacen y que incluye informar de todos los servicios de terceros que utilices en tu web y que almacenen también esos datos, como Hosting, plataforma de e-mail marketing, servicio de captación de leads, etc.

  3. Que sus datos personales se están recogiendo, utilizando o consultando, la medida en que dichos datos son o serán tratados y de las posibles consecuencias de no facilitar tales datos.

  4. Las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento.

  5. El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto también es una novedad)

  6. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos. En la actual Ley de protección de datos, ya contábamos con los derechos ARCO, ahora se impone un nuevo derecho, el de portabilidad que implica el traspaso de información de una empresa a otra si el usuario o cliente lo solicita.

  7. La existencia de decisiones automatizas, incluida la elaboración de perfiles para segmentación por ejemplo cuando esta elaboración tenga consecuencias jurídicas para el afectado.

Responsabilidad proactiva: es mejor prevenir que lamentar


Si nos quitamos la careta, hemos de asumir que no siempre se toman las medidas correctas para evitar la sustracción, la pérdida o el acceso no autorizado a información de la que somos responsables.

La nueva Ley de protección de datos, te impone más responsabilidad frente a la información que gestionas de otros.

Te pide básicamente que tomes la iniciativa en la defensa de la privacidad en lugar de reaccionar cuando ya se ha producido una brecha o una vulneración de derechos.

Por tanto, deberás adoptar medidas para demostrar que estás cumpliendo con el Reglamento, tendrás que ser tu quien aporte “la carga de la prueba”.

Es aquí cuando entran en juego los procedimientos y medidas de seguridad que tendrás que acreditar si se produce una brecha de seguridad o cualquier otra calamidad que comprometa la confidencialidad de los datos personales que están bajo tu responsabilidad.

También te obliga a tener un procedimiento para comunicar esa brecha a los usuarios o clientes cuya información personal se vea comprometida.


El punto vulnerable: las sanciones e indemnizaciones del nuevo reglamento EU


Otra parte que debes tener en cuenta el enorme incremento de las sanciones por incumplimiento de cualquiera de estas premisas. Antes, el tope de sanción se estimaba en los 600.000€ y para ello, la debías de liar gordísima.

El nuevo reglamento dispara esos importes y en el caso de infracciones leves, pasa de los 600.000€ a los 10 millones de euros, o un 2% del volumen de negocio total anual del ejercicio financiero anterior.

En el caso de infracción grave, estas dos cifras se duplican, alcanzando la terrorífica cifra de 20 millones de euros o un 4% del volumen de negocio.

Pero no todo son sanciones, además hay otra peculiaridad más preocupante aun que hará que no te lo pienses a la hora de realizar tu reconversión digital legal. El nuevo reglamento prevé la posibilidad de requerir indemnizaciones a los damnificados en materia de protección de datos, algo que no contemplaba la actual LOPD.

Imagina los pillos que puede generar esta medida y cómo puede impactar en tu negocio porque puede propiciar la aparición de aprovechados caza indemnizaciones. Así que es mejor no tentar a la suerte y no darles la menor oportunidad. Teniendo todo en regla dormirás sin sustos y sin pesadillas que atormenten tu sueño.

¿Merece la pena esta reconversión digital?


Gracias por llegar hasta el final. Sé que este post no es ligero como un comic y que el tema no es especialmente divertido, pero estás informado sobre lo que se avecina y te encuentras en las puertas del cambio.

Ahora depende de ti asumir los nuevos desafíos que introducen los entornos digitales o ser una eterna bella durmiente.

Dice el refrán: Alguien responsable es aquel que compra lana y palillos y termina siempre su tejido, es alguien que no espera sólo los inviernos para continuar lo que empezó un año atrás”

Es tu turno de crecerte y tomar la decisión hacia una reconversión digital de tu web o blog o mantenerte pasivo en la espera de qué pasará, no esperes a recibir una denuncia para acometer los cambios que tu web necesita.

El triunfo es de los valientes y de los que arriesgan. En la revolución digital que vivimos, se hace imprescindible trabajar en la creación y consolidación de una comunidad, donde estarán los que brindan garantías y seguridad, y no quienes tienen una nube de oscuridad e incertidumbre.

Eres de los míos y sé que estarás en el primer grupo.

Este nuevo reglamento europeo de protección de datos, te da la llave de una nueva oportunidad para situarte por encima de tu competencia y que tus usuarios vean a tu web o blog como un puerto seguro que garantiza sus derechos.

8 comentarios en “¿Qué medidas debes adoptar para que tu blog sobreviva al nuevo reglamento?”

  1. Hola,
    Acerca de este punto: “La identidad del responsable de la gestión y si procede, del delegado de protección de datos, otra novedad que hasta ahora no existía esa figura. Una web que no proporcione información completa del responsable, no podrá considerarse nunca una web legal.”

    Si eres dueño de tu propio blog, sin ser una persona jurídica, ¿Es aceptable solo poner el nombre de la persona responsable de tratamiento de datos sin el DNI y su dirección? Lo pregunto porque se puede estar expuesto a ataques de suplantación de identidad y SPAM. ¡Tanta protección, pero quien proteje al protector! 🙂

    1. Hola Adrian,
      Esa pregunta ya la respondo más abajo, decirte que este apartado es obligatorio en todas las páginas web a través de las que se realice cualquier actividad económica o muestren publicidad. Por tanto, se salvan muy pocas.
      Uno de los apartados exige informar sobre Datos registrales, es decir, nombre o denominación social. Residencia o domicilio o, en su defecto, la dirección de uno de sus tiendas fijas. Dirección de correo electrónico y cualquier otro dato que permita fijar una relación directa y eficaz con la empresa.
      Si no quieres poner tu domicilio, puedes contratar un servicio de dirección fiscal, hay muchas empresas que ofrecen esos servicios.
      Un abrazo

    2. Las nuevas políticas de protección solo expone a los que quieren trabajar honestamente y protege a los delincuentes. Por que los estafadores, spammers, etc. que pululan por Internet, esos siempre van a estar protegidos, ya que nunca van a dar la cara ni nadie que pueda obligarlos.

      Aquí en Europa y España sobre todo, si un delincuente te agrede o te roba y tu te defiendes, el penalizado eres tu, TU tienes que indemnizarlo a el, al delincuente, increíble. Es una invitación a delinquir para los que no tienen escrúpulos ni moral ni ética.

      Parece que la mayoría de personas esta feliz con eso, porque no veo a nadie haciendo algo al respecto, aquí los derechos son para los delincuentes.

      Ya quisiera ver como controlan a empresas como Google o Facebook, ya que ellos tiene la información de todo el mundo quieran las personas o no.

      Da igual las leyes que pongan, el primer requisito de todas estas empresas para poder utilizar sus servicios “gratuitos” es darle absolutamente toda tu información personal, para que así sepan todo sobre ti y bombardearte eternamente con su publicidad.

      Saben que por estadística mas temprano que tarde terminaras comprando algo, o peor aun modificando tus gustos u opinión sobre algo para beneficio de terceros que ni sabemos quienes son.

      Felicidades a todos y saludos.

  2. Buenas.

    Gracias a vuestra web, me he podido informar de todo lo referente a la nueva ley de protección de datos. En mi empresa ya tenemos todos los formularios con doble capa y adaptados a la nueva directriz, y todos los correos son confirmados por el doble opt-in.
    Lo que no me queda todavía claro es con el tema de las bases de datos. Por ejemplo, tengo almacenados correos de clientes y contactos pasados, y ahora no se muy bien cómo debo proceder. Mi pregunta es, si ya con la ley funcionando, todavía puedo pedir su consentimiento para incorporarlos en un proceso de email marketing; es decir, enviar un correo masivo pidiéndoles que rellenen el formulario para descargarse un ebook y tener sus datos confirmados.
    Es más, si de aquí a un año, si sigo recibiendo correos por cualquier medio, puedo hacer un envío cada poco tiempo recordando a la base de datos que necesito que me confirmen la suscripción para poder enviarles newsletters.

    Gracias por vuestro tiempo.

    1. Hola Angel, si es una base de datos de clientes, no necesitas reconfirmar el consentimiento, bastará con que informes de los cambios realizados y vuestra nueva política de privacidad. ten en cuenta que en caso de clientes, la base legal que legitima el tratamiento es la relación contractual.

      En el caso de clientes potenciales la cosa es diferente, porqué se precisa del consentimiento como base legal para el tratamiento. Para poder decir que el consentimiento es acreditable, las empresas deben de poder acreditar y documentar lo siguiente: ¿Quién otorgó su consentimiento?: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.¿Cuándo y cómo se otorgó el consentimiento?Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo. ¿Qué información recibió la persona que consintió? Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles y por tanto, es imprescindible tener una copia del formulario utilizado para obtener los datos del interesado, o copia del sistema de captura de datos, con la información que se le haya proporcionado al dueño de los datos.
      En los Formularios online: se deben tener capturas de las capas informativas con sus sellos de tiempo correspondientes. en su alta o suscripción. En este correo electrónico se puede insertar las capas informativas y se hacen capturas del proceso.
      Hay que tener en cuenta que el consentimiento tiene que ser verificable: quienes recopilen datos personales deben ser capaces de demostrar que el interesado les otorgó su consentimiento.
      Por ello, es importante revisar los sistemas de registro del consentimiento, para que sea posible verificarlo ante una auditoría.

      Espero haberte ayudado,

      Un abrazo

      1. Por supuesto, Marina. Me ha sido de mucha ayuda.

        Entiendo que mientras el sistema online de formularios y correos electrónicos, haga un seguimiento de todas las acciones que realice el contacto desde que se da de alta hasta que se produce la baja, y esté informado de los aspectos legales que cumple mi empresa, no hay problema.

        Mi intención no es bombardear a la base de datos con peticiones de consentimiento constantes, pero sí intentar no perder el contacto; y que sepan que en cualquier momento podemos estar para mantenerles al tanto (si nos dan su autorización) de nuestras últimas actualizaciones y noticias.

        Gracias, un abrazo.

  3. Buenas tardes soy novato total y mi pregunta es en un blog de wordpress , se puede tener el apartado contacto? donde esta nombre, drecion de correo etc
    muchas gracias

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad *

LEXblogger te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Luz Soluciones TIC, S.L. como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.

Legitimación: Al marcar la casilla de aceptación, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad.

Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de Raiola Networks (proveedor de hosting de LEXblogger) dentro de la UE. Ver política de privacidad de Raiola Networks.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@lexblogger.com, así como el derecho a presentar una reclamación ante una autoridad de control. Más información aquí.