Como ya sabrás, desde que en primavera de 2018 entrara en vigor el Reglamento General de la Protección de Datos, las cosas han cambiado (y mucho) en esto de los avisos legales de los sitios web.
Básicamente, el RGPD contempla que los sitios web tienen que explicar clara, sincera y concísamente qué datos de los/as usuarios/as visitantes registran, guardan, para qué los usan y qué acciones llevarán a cabo los responsables de ese sitio web para velar por la seguridad del sitio y de esos datos personales.
A este punto se le añade otra cuestión importante: hay que solicitar de manera explícita a los/as usuarios/as el consentimiento para guardar esos datos. En cada punto de petición, hay que ofrecerles el recurso para que consientan específicamente esa cesión.
Esto ha traído cambios en dos sentidos:
Desde la perspectiva de los responsables de los sitios web, tenemos que ser mucho más respetuosos con los datos personales de los/as usuarios/as. Tratar con cuidado estos datos desde el mismo instante en que los solicitamos y en el transcurso del tiempo que dure esta relación con los/as usuarios/as.
Y en cuanto a los/as usuarios/as, éstos son cada vez más conscientes del valor de su información. Han entendido que tienen derechos y el propio Reglamento articula esos derechos, dándoles incluso la posibilidad de denuncia y se solicitar ser recompensados por las infracciones.
Por lo tanto, es indispensable que los sitios web cumplan escrupulosamente con este Reglamento y, a estas alturas de la película, los textos, formularios etc de los sitios web ya estén adaptados.
Pero, ¿qué aplica y cómo se hace esta adaptación? Me lo preguntan muy a menudo y por eso me he animado a compartir en esta ocasión cómo lo hago yo en los sitios webs de mis clientes.
En qué casos aplica el RGPD
Para tenerlo claro desde un principio: siempre que se solicite un dato personal hay que adecuar el sitio al RGPD, en estos casos:
- Cuando el sitio web ofrece un servicio.
- Si el sitio web tiene un formulario de contacto, suscripción o de comentarios.
- Cuando el sitio web comercializa servicios o productos.
- Si el sitio web, el servidor o a través de éstos el equipo local recoge y guarda algún dato de los/as usuarios/as que visitan el mismo.
- Si el sitio web tiene publicidad.
- Si recoges datos estadísticos de las visitas a tu sitio web y el comportamiento de las visitas, con cualquier herramienta externa.
- Si, a través del sitio web, sus responsables participan en algún programa de afiliados.
Como ves, la aplicación es muy general. Un blog simple, que no venda nada, pero que, por ejemplo, cuente con la posibilidad de que los/as usuarios/as hagan comentarios o que tenga un formulario de contacto, tiene que cumplir el RGPD.
¿Hay exclusiones? Sí; están recogidas el artículo 2.2 del RGPD.
Entonces, ¿es indispensable la adaptación a la ley de protección de datos?
Respuesta corta: Pues sí.
Respuesta larga:
El RGPD hace que sea muy visible que un sitio web no cumple; vamos, que canta mucho. Simplemente, mirar el aviso legal o ver el formulario y se puede detectar en unos segundos si ese sitio está cometiendo una infracción.
Pero además hay una cuestión que resulta muy importante: el artículo 82 del RGPD recoge el “Derecho a indemnización y responsabilidad” .
¿Y qué quiere decir esto?
Pues básicamente que la persona que perciba el incumplimiento en un sitio web puede, por una parte, denunciarlo y, además, recibir una indemnización.
Sí, has leído bien: si tu web no cumple en algún punto el Reglamento, cualquier usuario lo puede denunciar y solicitar que se le indemnice.
Esto ha generado una locura de cazadores de infracciones y oportunistas.
Aquí es donde a muchos les ha entrado el «canguelo» y han decidido adecuar su sitio web. Es increíble, pero estamos más atentos a las consecuencias de no cumplirlo que a poner en marcha las medidas básicas desde un comienzo para cumplir con lo exigido y evitar problemas.
Pero, más allá del riesgo de una denuncia y tener que indemnizar, hay que tener en cuenta que las consecuencias afectan a la imagen de tu empresa (o la tuya), a la marca, a tu marca personal.

Como muestran en LexBlogger, no te la juegues:
- Te juegas tu reputación.
- Te juegas la continuidad del negocio.
- Te juegas la competitividad.
- Te juegas la credibilidad.
- Te juegas la confianza.
- Te juegas tus bases de datos.
¿De verdad te quieres arriesgar? ¿Te la quieres jugar?
¿Qué es lo que hay que cumplir?
Recojo aquí los 10 puntos de control que tienes que revisar escrupulósamente y cumplir:
- La necesidad de obtener un consentimiento explícito, inequívoco, informado y verificable de los/as usuarios/as. Permiso para recoger los datos y gestionarlos; y, por lo tanto, habilitar mecanismos para hacerlo.
- Informar a los/as usuarios/as antes de recoger sus datos del uso que se va a hacer de los mismos. Subrayando el tema de que se informe con claridad, de forma transparente y accesible.
- Ofrecer a los/as usuarios/as vías de acceso fácil a los datos que los han facilitado.
- Especificar y concretar lo que supone recoger los datos personales de las personas que te los cedan.
- El derecho al olvido y a oponerse al uso de los datos personales, para no ser incluidos en el establecimiento de perfiles.
- La obligación de contar a nivel interno con un registro de actividades de tratamientos.
- Obligación de informar sobre los/as colaboradores/as con los que se comparta información sobre los datos personales del/la usuario/a (trabajadores/as, aplicaciones, etc).
- Especificar las medidas de seguridad que se establecen para cada nivel de riesgo de los datos facilitados.
- Obligación de llevar a cabo controles de manera periódica para garantizar las medidas que recoge el RGPD.
- Contar con un protocolo de detección y notificación de faltas de seguridad.
¿Qué hay que tener en cuenta para adaptar un sitio web y cumplir el RGPD?
La lista de cuestiones que tienes que revisar o modificar es larga. Mira punto por punto y comprueba si cumples con lo marcado.
Sino, sigue leyendo que más abajo te doy la solución para conseguirlo:
- Actualizar y adecuar a la norma todas las páginas relativas a las políticas legales de la web (aviso legal, política de privacidad, política de cookies). Ahora estos contenidos tienen que ser más precisos, en páginas separadas y ofrecer toda la información que el reglamento exige.
- Formularios: revisar que en todos el/la usuario/a cuente con una opción donde consentir de manera explícita, inequívoca, específica y verificable que te da su consentimiento para el uso de datos (esto en la práctica se traduce en que tiene que aparecer una caja con un mensaje donde deban hacer clic para aceptar).
- La información sobre el tratamiento de datos debe ir obligatoriamente por capas: una primera, en los formularios, donde aparecerá una primera información legal, sintética y resumida, pero que recoja los datos básicos. En esa información deberá darse acceso a la revisión de toda la información completa, en una segunda capa.
- Poner en marcha y ejecutar un registro de actividades de tratamiento en donde se analicen cada uno de los tratamientos y de las medidas de seguridad a aplicar, en función del riesgo de cada uno.
- Habilitar cláusulas informativas para los diferentes tipos de comunicaciones: correo electrónico, newsletters, etc. Se debe, además, dar opción en todo momento a los/as usuarios/as para anular la suscripción y dejar de recibir comunicaciones.
- Registrar todos los consentimientos que se hayan obtenido. Puesto que debe ser verificable, se debe cuidar de que se recoge de alguna forma un registro.
- Actualizar y verificar los registros anteriores; por lo tanto, será necesario poner en marcha un vía de comunicación para que los registrados anteriormente confirmen el registro y den permiso a las comunicaciones.
- En caso de que se haga marketing directo, ofrecer la información al/la usuario/a para que si lo desea se pueda oponer al uso de sus datos.
- Si hay colaboradores con los que se comparten datos, será necesario hacer un contrato de tratamiento de los datos.
- Habilitar mecanismos para que el/la usuario/a pueda en cualquier comento ejercer sus derechos ARCO.
- Poner en marcha las medidas de seguridad adecuadas según el nivel de riesgo de los tratamientos en cada caso.
- Realizar sistemáticamente controles periódicos que garanticen el cumplimiento.
¿Cómo adecuar los textos y recursos del sitio web?
Claramente, veo diferentes opciones para poder hacer esta adecuación, pero algunas de ellas no te las recomiendo para nada y te explico por qué.
Redactarlos tú mismo/a y hacer la adaptación por tu cuenta
Tradicionalmente es la que más se ha usado hasta ahora. Bien el responsable del propio sitio web, o bien la persona o equipo encargado del desarrollo del sitio web, han sido tradicionalmente los encargados de desarrollar los avisos legales del sitio web.
¿Cómo? Claramente, la mayoría de las veces la técnica empleada ha sido revisar el sitio web de algún sitio web parecido, copiar esos textos y maquillarlos un poco. Y a correr. ¿A que sí?
En este caso no te lo recomiendo para nada. ¿Por qué? Por dos razones:
- Porque el Reglamento precisamente va enfocado a que los sitios web cuenten con avisos legales adaptados específicamente a sus condiciones y a sus características.
- Y segundo, porque además de los avisos legales, los sitios web cuentan con otro tipo de recursos que también hay que adaptar, como pueden ser los formularios, las cajas de comentarios, etc.
Encargando los textos a alguien especializado en temas legales
Esta opción es bastante mejor: que los textos los redacte una persona especializada en temas legales, sea abogado/a, sea responsable de protección de datos, etc.
Pero en este caso hay que tener en cuenta dos cosas:
- Por una parte, el mismo caso comentado más arriba: el sitio web cuenta con otra serie de recursos que también hay que adaptar. Y por lo tanto hay que asegurarse de que esta persona o equipa controla exactamente todos los recursos con los que cuenta el sitio web.
- A no ser que se trate de un/a abogado/a especializado en tecnología, tendrás que tener en cuenta que este/a profesional se tendrá que empapar del tema, estudiar qué y cómo lo debe hacer. Y, efectivamente, esas horas de trabajo te las tendrá que facturar.
Con lo que el coste puede ser alto.
¿Cuál es la solución? ¿Cómo lo hago yo?
Colegas de trabajo, amigos/as y otros/as me preguntan a menudo por este tema. Y te voy a compartir cómo lo hago yo.
La verdad es que no tiene nada de mérito por mi parte. Ya te he dado una pista antes: se trata de LexBlogger, una aplicación que te ayuda en este asunto y muchos más.
Qué es LexBlogger y cómo te puede ayudar
LexBlogger es una herramienta que permite contar con todos los textos legales a medida, personalizados y ajustados a tu web, tus sistemas de captura, los tipos de tratamientos que realices y las herramientas que utilices.
Con esta herramienta podrás contar con todos los textos legales que necesita tu web y garantizarte una adecuación completa, rigurosa al RGPD y 100% libre de sanciones gracias a nuestro seguro.
Es una herramienta en la que se van editando los campos, completando los datos que va solicitando paso a paso y automáticamente devolverá los textos que habrá que colocar en cada apartado y formato. Así de fácil.
Entre la documentación que necesitas para adecuar tu web están:
- Registro de actividades del tratamiento (RAT).
- Protocolos de ejercicios de derecho, modelos de ejercicio y modelos de respuesta.
- Protocolos de declaración de brechas.
- Contratos de confidencialidad trabajadores y colaboradores.
- Cláusulas de cesión de imágenes.
- Contratos de encargo de tratamiento con terceros.
- Primeras capas personalizadas para cada formulario: Cláusulas específicas de información de uso obligatorio a incluir en todos los formularios de captura de datos personales en función a la finalidad de la información recogida.
- Aviso Legal, Política de Privacidad y política de Cookies.
- Tabla de controles periódicos y auditorías.
- Asesoramiento sobre capas de seguridad requeridas.
- Manual de usuario.
- Campaña de regularización de registros previos.
¿Qué ofrece exactamente LexBlogger?
Documentación
Genera automáticamente más de 30 documentos, contratos y cláusulas distintos que te permitirán cumplir con la legislación actual en materia de protección de datos.
Gestión
Contiene todas las herramientas necesarias para poder gestionar los principales requisitos legales, como el ejercicio de derechos, brechas de seguridad, análisis de riesgos, etc.
Textos legales
Permite actualizar todos los textos legales que debes incorporar en tu web para cumplir con las leyes en materia de protección de datos, como «Aviso legal», «Politica de privacidad», etc.
Soporte
Dispones de soporte técnico para que cualquier problema, duda o consulta te sea resuelta y puedas completar todo el proceso seguro. Además de tutoriales, videoayudas, videoguías de casos reales y faqs.
Y doy fé de que funciona bien y te atienden rápido y de manera personalizada.
Seguro
Todos los textos legales de LEXblogger están asegurados. Si un cliente tuyo te denuncia por un error en nuestros textos, ellos se hacen cargo de pagar la sanción de la AEPD.
Y mucho más que los avisos legales para el sitio web
Pero todavía hay más. LexBlogger te ofrece también otro tipo de documentación para la gestión de un negocio, como pueden ser los contratos, protocolos, etc.
Si lo quieres escuchar…
Casualmente, hace unas semanas, cuando ya estaba preparando este extenso artículo, Joan Boluda entrevistó para su podcast a Pablo Borrás, CEO de LexBlogger.
Te dejo aquí la entrevista para que la puedas escuchar.
Espero que esta guía te sirva de orientación y tengas un poco más claro cómo cumplir con el Reglamento.