Uno de los elementos más habituales en los sitios webs y que genera más dudas en cuanto a su adecuación al RGPD son los formularios. Y es que a partir de la entrada en vigor del RGPD, los formularios que recojan información sobre los usuarios (contacto, suscripción, etc.) deben indicar claramente el propósito de la recolección de esos datos personales y, además, el usuario debe indicar de forma expresa que otorga su consentimiento para el tratamiento de los mismos. No es una tarea complicada pero para poder entender el por qué de esta nueva ley es importante conocer todos los detalles.
Adaptar los formularios de una web al nuevo RGPD es necesario aplicar una nueva serie de cambios:
- Nuevos textos legales: política de privacidad, aviso legal, política de cookies y límite de responsabilidad.
- Consentimiento expreso por parte del usuario. Todos tus formularios deben incluir un check de aceptación de la política de privacidad del sitio web (los de contacto, suscripción y comentarios).
- Nuevas coletillas legales. Además, en todos los formularios hay que incluir una información básica sobre protección de datos.
En términos generales, todo formulario que incluya la web debe tener un diseño adecuado que permita mostrar la información de forma clara y precisa, existiendo un balance entre la información que se quiere mostrar y los elementos de diseño escogidos.
Un lenguaje claro, sencillo y comprensible hará comprensible para cualquier usuario de la web toda la información relacionada con el tratamiento de sus datos personales que se debe recoger en el formulario.
Elementos que debe incluir un formulario para cumplir con la normativa
La finalidad de este reglamento es evitar todo abuso de poder en cuanto al tratamiento de datos personales, entendiéndose como tal el registro de la información facilitada por el usuario. Para ello, debemos incluir los siguientes campos:
- El propio formulario.
- La casilla de verificación de la política de privacidad.
- Tus datos o los de tu negocio.
El propio formulario
Los formularios web pueden ser usados no solo para enviar una consulta al propietario de la web. Se puede solicitar el envío de un producto a una dirección de envío, adjuntar archivos o suscribirnos a su newsletter.
Antes de enviar datos al servidor, es importante asegurarse de que se completan todos los controles de formulario requeridos, y en el formato correcto. Esto se denomina validación de formulario en el lado del cliente y ayuda a garantizar que los datos que se envían coinciden con los requisitos establecidos en los diversos controles de formulario. Mediante la detección de datos no válidos en el lado del cliente, el usuario puede corregirlos de inmediato.
Esto no es nada nuevo, pero sí conviene seguir teniéndolo en cuenta para garantizar una buena experiencia del usuario y evitar retrasos innecesarios.
Debe incluir la casilla de verificación
En el formulario se debe utilizar una casilla de verificación o similar que permita a los usuarios otorgar un consentimiento expreso, de forma manual, activa y voluntaria a la política de privacidad de la web.
En el caso de utilizar alguno de los campos del formulario para fines comerciales o envío de información, el usuario deberá aceptar el tratamiento de los datos para esta finalidad de forma expresa.
Muestra tus datos o los de tu negocio así como el propósito de la recolección de esos datos personales
Debes incluir información sobre el tratamiento de datos:
- Responsable: la persona responsable del tratamiento de los datos.
- Finalidad: se debe indicar claramente el propósito de la recolección de los datos del formulario (contacto, marketing, publicidad, etc.)
- Legitimación: a través de qué medio se legitima al sitio web al tratamiento de los datos personales. En este caso estaríamos hablando del consentimiento del interesado que es otorgado a través de la selección de la casilla de verificación.
- Destinatarios: en este caso se debe identificar si se van a ceder o no a terceros y en qué condiciones.
- Derechos: se debe indicar claramente los derechos del usuario (acceso, rectificación, limitación, supresión y oposición).
- Información adicional: en este apartado puede incluirse la información acerca de cómo se podrán ejercer los derechos mencionados anteriormente así como el enlace a la política de privacidad.
En nuestra web figura como un desplegable e incluye la siguiente información:
Requisitos de la información
El consentimiento
A partir de ahora el consentimiento tácito o por omisión queda completamente desterrado, por lo que la casilla de verificación debe aparecer desmarcada.
La norma no deja lugar a dudas, y así lo recoge el punto 32:
“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en Internet [….] ”.
Doble capa de información.
Hemos hablado anteriormente de incluir fines específicos detallados en el formulario. Esta sería la primera capa de información, donde desde el primer momento vamos a explicar el objeto del tratamiento de los datos. Pero… ¿cómo incluir tal cantidad de información en un formulario?
La segunda capa hace referencia a introducir de forma visible todo el aviso legal y política de privacidad a través de un enlace donde poder consultar de forma amplia y detallada todo lo relativo a los aspectos legales de la web.
Carga probatoria
Además de ser un consentimiento expreso y ligado a una finalidad específica deberás demostrar que lo has conseguido siguiendo esos preceptos. En este caso la carga probatoria recae sobre la organización que recibe y trata esos datos.
El uso del doble opt-in
Aunque el Reglamento 2016/679 del Parlamento y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos no dice nada expresamente, nos gusta utilizar el sistema del doble opt-in.
Esto significa que cuando un suscriptor se registra por poner un ejemplo en nuestra tienda online, recibe un mail con un link en el que debe hacer clic para confirmar la suscripción. De esta forma nos aseguramos que el mail existe y corresponde a la persona que ha realizado la suscripción.
Sanciones que podemos sufrir si no cumplimos con Ley de Protección de Datos
Si no cumples los requisitos marcados por el Reglamento General de Protección de Datos, puedes atenerte a las consecuencias. Según las últimas actualizaciones sobre las sanciones, las nuevas multas pueden subir hasta 20 millones de euros. Una cifra que debe servir para alertarte de la importancia de tener todo en regla.
Puedes adaptar la política de privacidad de tu sitio web utilizando nuestro modelo descargable.