Safe Harbor no es una película de Ben Affleck

rosario-rossi-safe-harbor

Si eres asiduo de los blogs de nuevas tecnologías, estarás al tanto de la anulación del Safe Harbor y probablemente hayas leído todo lo legible e ilegible sobre el tema. Tanto si es así, como si no, deberías seguir leyendo, ya que no todo es tan negro ni todos los que trabajamos con protección de datos nos aprovechamos del alarmismo creado.

Para aquellos que ya lleváis más de un mes escuchando hablar del tema, no pretendo aburrir y seguir diciendo todo lo dicho. Si he escrito ahora y no antes, es porque no he querido ser alarmista y esperar un tiempo prudencial para hablar del tema, especialmente para no asustar a mis clientes.

Sigue leyendo

Pero entre los artículos alarmistas y aquellos que han empezado a recibir las notificaciones de la Agencia Española de Protección de Datos, el pánico está servido. Han sido muchos los lectores que me han escrito interesándose por la eliminación de Safe Harbor, y a todos los he emplazado a un artículo resumen de la situación. Aquí está.

Antecedentes

Safe Harbor o Puerto Seguro, no es otra cosa que como se conoce a la Directiva Europea (95/46/CE) por la que se establecen una serie de requisitos mínimos y garantías en materia de transferencias internacionales de datos. De manera qué, si una empresa de gestión de datos americana (Google o MailGhimp por ejemplo), cumplía esos parámetros, se consideraba una transferencia de datos que no necesitaba una autorización expresa de la Agencia de Protección de datos, ya que se asimilaba a un tratamiento de datos intracomunitario.

Esas aplicaciones o empresas en las que alojamos y gestionamos nuestros datos, son, a efectos de la Ley Orgánica de Protección de Datos, consideradas como ENCARGADOS DEL TRATAMIENTO DE DATOS.

Hasta ahora, bastaba con especificarlo así en nuestro notificación de inicio de tratamiento de datos a la AGPD.

Todos éramos muy felices, hasta que apareció Snowden, y nos contó toda la verdad. Al menos parte. Ya que éste desveló cómo determinadas empresas no cumplían con esos parámetros establecidos, permitiendo el espionaje de los datos alojados en sus servidores, como Facebook.

Fue precisamente a raíz de esto, cuando un consultor tecnológico denunció la situación y consiguió demostrar que datos de Facebook se utilizaban para el espionaje. Su caso llegó hasta el Tribunal de Justicia de la Unión Europea, el cual le ha dado la razón y por sentencia de 6 de octubre de este mismo año ha dejado Safe Harbor en entredicho y prácticamente inaplicable.

¿Y ahora qué?

La desconfianza generada por esos operadores de datos, ha hecho el TJUE no considere justificadas esas transferencias en base al acuerdo del año 2000, en la medida en que los poderes judiciales y políticos tienen acceso a los datos que gestionan dichas empresas.

Aunque la sentencia de 6 de octubre no declara del todo ilegal este acuerdo, sí que abre la veda para que las autoridades nacionales de cada miembro de la Unión Europea establezca si Safe Harbor es suficiente o no. Y la Agencia Española de Protección de Datos ha optado por la segunda.

Para ello ha dado de plazo hasta el 29 de enero de 2016, para restablecer las negociaciones y firmar un Safe Harbor II, y que la sangre no llegue al río. En caso contrario, empezarán a caer sanciones a las empresas. Por ello la Agencia Española de Protección de Datos está enviando comunicaciones a las empresas para que empiecen a regularizar su situación de acuerdo con la nueva situación. Para que si no se llegase al acuerdo y acabamos sancionados, nos puedan contestar con un elegante: “Te lo dije.”

Avanzan las negociaciones

Como decía al principio, he querido ser prudente y no lanzarme a escribir artículos y alarmar a mis clientes, como otras empresas han hecho para intentar sacar tajada de la situación. Y en ello me mantengo.

Siendo consecuente dudo que las grandes multinacionales que gestionan datos dejen perder un trozo del pastel tan jugoso como es Europa, y van a presionar para que el Safe Harbor II sea una realidad. De hecho la prensa cada vez se hace más eco del avance de las negociaciones.

Si fuera así, antes del 29 de enero, en principio, no habría que hacer ningún trámite por parte de las presas que usan esos servicios con sede americana la mayoría.

Aún así, esa es solo mi opinión.

Ni qué decir tiene,  no se trata de una mala noticia. Diría que al contrario. Puesto que si bien es molesta para las empresas que ahora deban adaptarse y empezar a migrar sus datos o solicitar autorización a la AGPD. No es menos cierto de que es positivo que los tribunales dejen de mirar para otro lado en materia de tratamiento de datos, y empiecen a valorar (algo más que monetariamente) los datos personales de los usuarios.

Hasta ahora los grandes operadores de internet han crecido a medida que crecían sus usuarios, que facilitaban sus datos a cambio de una cuenta gratuita. Sin valorar que en esos datos que facilitamos está toda nuestra privacidad. Quizás con este toque de atención, empiecen a considerar que la venta de datos es también la venta de privacidad, si bien los primeros pueden ser cuantificados monetariamente, la segunda tiene un valor incalculable.

¿Me afecta?

Desde el punto del tratamiento de datos, casi todas las empresas utilizamos algún soporte online para almacenar nuestros datos, ya sea un servidor de correo o un gestor de email. 

Especialmente, muchos lectores de esta web que se dedican al mail marketing deberán revisar qué gestores utilizan y dónde tienen sus servidores.

Como usuario o titular de datos, lo cierto es que cuando abres una cuenta en cualquiera de esas empresas, casi siempre gratuitas, estás aceptando que traten tus datos como les venga bien. Esa inseguridad no es nueva, y no va a cambiar en exceso, al contrario, puede que sea un estímulo para que la protección de datos empiece a ser una realidad y no una ficción legal con tantos resquicios.

Si estás suscrito a una lista de newsletter, lo suyo es que el titular de la misma haga los trámites, si no lo hace, siempre quedarán a salvo tus derechos de Acceso, Rectificación, Cancelación u Oposición, dirigiéndote a cualquier dirección que tenga la empresa, o usando el botón al pie de página de los correos de “Dar de baja”.

Soluciones

Pues ahora las soluciones que quedan, para el caso en que no se rubrique en el plazo estimado el nuevo acuerdo son:

  • Regularizar la situación manteniendo al gestor de datos: O lo que es lo mismo, firmando un contrato con el encargado del tratamiento y comunicándolo debidamente a la AGPD. Mailchimp, por ejemplo, ha preparado un formulario a tal efecto, el mismo hace las veces de acuerdo entre las partes y que hay que remitir a la AGPD para su aprobación. Es decir, que enviado el comunicado, tendremos que esperar a que la Agencia lo apruebe y acepte la modificación.

Ni qué decir tiene, que hablamos de un proceso lento y que no acaba de responder a las necesidades de empresas que no se dedican a la gestión de datos. Hablamos de comunes mortales, como tú y como yo, que tenemos una web y/o una empresa que manejamos los datos de nuestros clientes con el único fin de poder prestar nuestros servicios. Con un fichero de clientes y proveedores y otro para la newsletter.

  • Traernos nuestras listas de correo a empresas de gestión de datos que tengan sus servidores en la Unión Europea. MailChimp o Dropbox no lo son todo, existen empresas que prestan servicios similares pero con sede Europea. De hecho no es de extrañar que muchas de estas empresas ya han empezado a plantear colocar servidores en sede europea para no quedarse fuera de juego.

 

En cualquier caso, se abre el turno de palabra, así que os invito a que comentéis vuestra experiencia al respecto y solucionar las dudas que surjan.

¡Cuidado! ¡Timo a la vista en marcas y patentes!

rosario-rossi-marcas

Ya he hablado en otras entradas de la importancia de registrar una marca para evitar que alguien te prive de su uso por la vía del registro previo.

Pues bien, esa actividad de registro está dando lugar a nuevas formas de negocio que rozan la estafa, y que son de dudosa moralidad.

Sigue leyendo

Me explico. Los últimos clientes con los que he trabajado en cuestiones de marca, han recibido una serie de comunicaciones con apariencia de oficiales, pero que no lo son.

Os cuento cuales han sido los casos para poder detectar estas cartas con rapidez y acudir a un profesional antes de efectuar ningún pago:

1) La primera de ellas era de un despacho internacional de abogados especializados en gestión de marcas. Pero camuflaba su carácter publicitario, y es que en el sobre solo se podía leer “Patentes y Marcas”, sin ningún membrete oficial. Para alguien que no esté acostumbrado a recibir comunicaciones oficiales de la Oficina de Patentes y Marcas, no tiene porque detectar el carácter no oficial de dicha comunicación. Con lo cual crea una situación de confusión en el cliente, que recibe una publicidad que desde luego no ha solicitado.

2) La segunda de las comunicaciones, era una carta con apariencia de factura que reclama una cantidad desorbitada. La aparente factura determina el concepto del registro o renovación de marca y asevera de su pago. Evidentemente crea gran alarma en quien la recibe (espero que todos llamen a un abogado antes de acceder al pago). Porque resulta que la factura no es real, y en la letra pequeña dice que es la oferta del servicio, no el pago del servicio ya realizado, y que si se hiciese el pago, el mero hecho del ingreso constituye una aceptación de su contrato y sus condiciones, por lo que para entonces sería tarde cualquier devolución o cancelación del contrato.

¿Quién está detrás de estas cartas?

Se trata de bases de datos de marcas, totalmente ajenas a registros oficiales, y de suscripción voluntaria, por lo que en principio sería legal. Y que por cierto, no tienen validez ninguna en temas de protección de marca, puesto que en caso de conflicto no tendría valor probatorio, puesto que son registros privados y con muy pocas suscripciones.

También llama la atención, y denota que no es algo muy normal, el hecho de que las empresas que nos reclaman ese pago, tienen sedes en países muy alejados, que no tienen competencia directa en las marcas registradas en España (Australia, Rusia…).

¿Y de dónde sacan los datos?

Ahí está su truco. No hacen nada ilegal. Los datos los toman de fuentes accesibles al público, como es el Boletín Oficial de la Propiedad Industrial (BOPI), donde se publican todos los registros que se efectúan, y los datos de quienes las registran. Por lo que no  compran listas de datos a terceros, ni los consiguen de ninguna manera fraudulenta.

Podríamos entender que vulnera la Ley Orgánica de Protección de Datos por el hecho de que nos están enviando información comercial sin solicitarla ni consentir el tratamiento de nuestros datos. Pero no, esa protección es solo para los datos de carácter personal, y se entiende que una marca es para una cuestión comercial, por tanto, pierden ese carácter de datos personales. Aunque quien registre sea una persona física.

 

Como vemos, solo envían una oferta de un producto, el problema es el malintencionado diseño de la oferta, que le da apariencia de factura oficial, y que si no deparamos en la letra pequeña nos puede dar un buen disgusto.

Por eso, antes de hacer cualquier pago, es mejor que hables con un especialista, y dejes en sus manos las gestiones necesarias antes de tener que lamentarnos.

AQUÍ tienes el contacto de una bastante buena 😉

¡Feliz verano!

 

MailChimp y privacidad

 

rosariorossi (1)

Tener una gran lista de suscriptores a nuestra newsletter es un gran reto. No solo para los blogger, sino para cualquier empresa que ofrezca sus servicios en Internet. Si en la calle repartir publicidad es tan fácil como echar folletos de buzón en buzón, en Internet la única forma de hacerlo legalmente es con una lista en que el destinatario haya prestado su consentimiento a recibir esa publicidad de manera expresa.

Sigue leyendo

La diferencia entre el suscriptor y el destinatario de otro tipo de publicidad, es que expresamente ha solicitado recibir esa información, por eso su valor publicitario es mayor, ya que las ofertas que se hagan a través de una newsletter van directamente a clientes potenciales, lo cual supone un gran ahorro económico y de energías.

Tener una lista considerable para enviar Newsletter no es fácil, pero cumplir con la Ley Orgánica de Protección de Datos sí, aunque muchos blogger y empresas no se den por aludidos. Partimos del hecho de que un nombre y una dirección de email ya son datos de carácter personal, y por tanto requieren de la aplicación de los requisitos y obligaciones que la ley exige para cualquier tratamiento de datos y que ya vimos en esta entrada sobre la adaptación a la ley de protección de datos.

Para realizar una campaña de manera sencilla, lo más habitual es recurrir a un gestor de correos, la mayoría de ellos con  sede internacional, por lo que deberemos estar atentos a la regulación sobre transferencias internacionales de datos, que entre otras cosas requieren de una autorización de la Agencia Española de Protección de datos.

Evidentemente, tener que cumplir con esos requisitos haría casi imposible mantener una lista de correo. Por ello, a nivel internacional se han creado herramientas para simplificar el proceso y hacerlo más accesible. La solución es SAFE HARBOR o PUERTO SEGURO, se trata de una serie de principios que se adaptan a la normativa europea, y que se utiliza para simplificar las transferencias entre países con distintas legislaciones. Así las empresas americanas adheridas a Safe Harbor establecen unas garantías mínimas, y por ello están exentos de autorización de la Agencia. Veámos en que se traduce esto.

Para ver  cómo se cumple con la ley, vamos a tomar el ejemplo MailChimp, ya que es el gestor más fácil de utilizar y también el más utilizado, y que precisamente es una de las empresas adheridas al sistema SAFE HARBOR.

 

REQUISITOS PARA CREAR UNA LISTA DE CORREO

1.- NOTIFICAR FICHERO

Como ya hemos indicado, requiere de la inscripción de un fichero ante la Agencia de Protección de Datos. Para ello accederemos al Formulario Nota establecido a tal fin.

Si es nuestra lista de correos, pondremos nuestros datos en el apartado referente a la responsabilidad del fichero, pero al llegar al apartado 4.- Encargado del tratamiento los datos que deberemos facilitar serán los de MAILCHIMP, veámos como:

FORMULARIONOTA4

 

(Especifica que es Estados Unidos porque si no sitúa el C.P. 30318 de Atlanta en un pueblo de Murcia. En serio)

Al rellenar este apartado, el propio formulario nos advierte de que deberemos rellenar el apartado 10.- Transferencias Internacionales, que por lo general no se rellena, y que está previsto para estos supuestos:

ficheronota10b

 Una vez enviemos el formulario, en un par de semanas la AGPD nos remitirá la información correspondiente y ya habremos cumplido el primer requisito de inscripción de ficheros. Siempre y cuando estemos ante un gestor adherido a Safe Harbor, si no es así, necesitaremos una autorización del Director de la AGPD para poder llevar a cabo esa gestión. Seguimos.

2.- DEBER DE INFORMAR

Deberemos informar en nuestra web sobre la recogida, tanto del fin de esos datos (en este caso para comunicaciones comerciales), indicar si se van a ceder esos datos y facilitar los datos en los que los titulares de los datos pueden ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Para ello lo más recomendable es establecer una POLÍTICA DE PRIVACIDAD, bien en una página visible y accesible o bien incorporarlo a nuestro aviso legal como un apartado más. Para el caso de las newsletter, a esa política de privacidad deberemos incorporar una cláusula informando de que esos datos van a ser gestionados por MailChimp:

SUSCRIPTORES NEWSLETTER: Los datos que usted facilite para suscripción a la newsletter de (su web) , serán almacenados en el fichero “SUSCRIPTORES NEWSLETTER”, cuya finalidad es mantenerle informado de nuestras ofertas y facilitarle contenido relacionado con los productos y servicios que prestamos, inscrito en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos. Los datos serán almacenados en el datacenter de MailChimp en Estados Unidos (EE.UU), el cual actúa como encargado de tratamiento en la recogida y almacenamiento de sus datos, hemos escogido a MailChimp por estar adherido a los principios de “Puerto Seguro” (Safe Harbor), lo que se traduce en que está obligado a cumplir principios similares a los europeos en materia de protección de datos,  si desea más información al respecto, le facilitamos la política de privacidad de MailChimp:  http://mailchimp.com/legal/privacy/

3.- CONSENTIMIENTO

Para cada dato que recopilemos necesitamos el consentimiento de su legítimo titular. Por ello en cada formulario por el que recopilemos datos lo más recomendable es informar directamente al pie de ese tratamiento de datos o bien establecer un botón de bloqueo, el clásico he leído y acepto que redirige a la política de privacidad, y que si no se marca no deja enviar los datos.

MailChimp, además tiene un sistema de confirmación extra, por lo que el consentimiento a la suscripción queda directamente recogido por la plataforma. Y permite ejercitar los derechos ARCO de manera automática y muy sencilla, ya que sus email contienen un botón para darse de baja de las suscripciones, funciona de manera automática y garantiza que el usuario pueda ejercer su derecho de Cancelación conforme a la LOPD.

 

MAILCHIMP Y LA PRIVACIDAD

Lo bueno de esta compañía es que ofrece la garantía de que no va a ceder esos datos a terceros, y se adapta a la normativa europea (o eso dice).

Ellos mismos avisan de que no se trata de un servicio de mensajería confidencial, sino que aleatoriamente revisan los contenidos. Tal es así que su premisa es “No enviar nunca nada en un correo electrónico que no pondrías en una postal”.

Si quieres más información al respecto, aquí tienes su política de privacidad en un perfecto inglés

 

 

e-Legal: Derecho para webs

 

El pasado día 4 de octubre, tuve la suerte de que me invitaran a participar como ponente en las IV Jornadas Meetup de WordPress de Córdoba. Algo que me hacía  ilusión, porque ya había acudido en otras ediciones como público. Esta vez me lo pasé aún mejor, además me trataron muy bien, tanto organización como asistentes.

¡Gracias!

rosariorossi_wp

Sigue leyendo

Como vi que el interés por los temas a tratar era alto para los desarrolladores y curiosos en general que asistieron, he pensado que no hay mejor manera de continuar con el tema, que escribiendo un artículo aquí, ampliando lo que ya tratamos allí, ya que el tiempo se quedó corto para todas las dudas que tenían los asistentes. Y si el artículo se sigue quedando corto, siempre nos quedará un formulario de comentarios, o  de contacto para los casos más extremos, desde el que podéis plantear las dudas que tengáis sin ningún tipo de compromiso.

Vamos entrando en faena.

Los aspectos legales que pueden darse en una web son tantos como pueden darse en cualquier acto de nuestra vida. Es decir, que en una web, aparte de la normativa específica, le es de aplicación toda la legislación que existe: Código Civil, Código Penal, normativa Administrativa, de Consumidores…

Como abarcar todo eso en un artículo es imposible, mejor nos centramos en tres requisitos legales específicos que deben cumplir las webs: Aviso Legal, Privacidad y Cookies.

 

AVISO LEGAL

¿Todos tenemos que tener un “Aviso Legal” en nuestra web?

Todos no, pero casi todos sí.

La Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico, dice que los Prestadores de Servicios de la Sociedad de la Información deben cumplir con un deber de información e identificación.

 avisolegal

Podrás pensar “yo no soy nada de eso”. Puede que sí.

  • ¿Eres una empresa o profesional y utilizas tu web para tu propia difusión, aunque no vendas productos o servicios directamente? Debes tener aviso legal.
  • ¿Tienes una tienda online? Aviso legal.
  • ¿Tienes un blog personal sin publicidad? En este caso NO es obligatorio cumplir con este deber.
  • ¿Tienes un blog personal y le has colocado AdSense (o similar) para ganarte unos eurillos? Aviso Legal obligatorio.
  • ¿Desarrollas APP que implican algún tipo de transacción económica? Aviso Legal.

En definitiva, todo aquel que realice una actividad económica con su web, ya sea de la web para fuera, o ya sea de la web para dentro como es el caso de la publicidad.

 

Ya que estamos, ¿qué contenido mínimo debe tener un Aviso Legal según la ley esa?

El artículo 10 de la LSSI-CE establece:

– Datos identificativos: Nombre, Dirección, Correo electrónico..

– Datos de inscripción en el Registro Mercantil.

– Si se trata de una actividad sujeta a autorización administrativa (por ejemplo una farmacia o un laboratorio)

– Si se trata de una profesión reglada: Colegio, núm, título… (abogados)

– Nº de Identificación fiscal: DNI ó NIF

– Si está suscrito a algún código de conducta.

 

Además de una referencia a la propiedad intelectual de los contenidos (en mi caso Cretive Commons By), así como responsabilidad y condiciones de uso de los usuarios web.

Si  tenemos una tienda online, habrá que tener las condiciones generales de la contratación, precio (con o sin impuestos), cuestiones relativas a los gastos de envío… Os remito al artículo sobre aspectos legales de una tienda online si queréis profundizar.

Además de condiciones de privacidad y cookies (ahora veremos detalladamente)

 

Pero yo tengo el hosting en Arkansas.

Da igual, si prestas tus servicios en España, aunque tú mismo residas en Arkansas City, debes cumplir con la LSSICE.

 

POLÍTICA DE PRIVACIDAD.

 

No me voy a detener mucho en esto. Va en relación con la Ley Orgánica de Protección de Datos, sobre la que ya escribí un artículo para adaptarse a la misma en caso de ficheros de nivel básico, así que me remito a aquel artículo.

Debemos informar sobre fichero y responsable del mismo en el aviso legal, para que los usuarios puedan hacer valer sus derechos de Acceso, Rectificación, Cancelación u Oposición.

En el caso específico de una web, debemos cumplir con el deber de notificar un fichero a la Agencia Española de protección de Datos si tenemos alguna o algunas de estas cosas: un formulario de contacto, un sistema de registro de usuarios, newsletter, “trabaja con nosotros”, tienda online…

 

COOKIES

 

Aquí llega la madre del cordero.

No voy a hacer otra guía de Cookies, en internet puedes encontrar cientos, y más completas y mejores que yo lo podría hacer. Lo que a continuación voy a hacer es plantear problemas y soluciones.

“Ley de Cookies”, ni siquiera es una ley, es un apartado de un artículo (art.22.2 LSSICE), empieza mintiendo desde su  nombre.

Y una ley que llega tarde y mal. En otros países existe normativa similar, de hecho esta es una transposición de normativa europea, pero aquí le hemos dado una vuelta de tuerca haciéndola más restrictiva y casi inaplicable. Además tecnológicamente, está bastante atrasada, en el sentido en que la mayoría de archivos verdaderamente invasivos (de los que se supone viene el legislador a prevenir a los usuarios) no se instalan por cookies.

Y por supuesto, no ha existido una difusión acorde con su dimensión. Es verdad que desconocer la ley no excusa de su cumplimiento, pero no está mal poner las cosas fáciles. De lo contrario podría parecer que tiene un fin recaudatorio…

rosariorossi_cookies

¿Qué es una cookie? (esta parte me la salté en la charla originaria por tener un público experto)

Ficheros pequeños que las webs dejan en tu ordenador para recopilar datos, bien para mejorar tu experiencia, bien para elaborar sus estadísticas.

No son necesariamente malos.

¿Entonces qué pasa?

Que dice la ley que tienes que avisar cuando recopilen datos, pero no basta con informar, sino que no se pueden instalar en el ordenador de tus usuarios hasta que estos acepten, bien expresamente, bien tácitamente si has informado debidamente.

¿y cómo lo hago?

Puedes incluir toda la información en el primer acceso, pero lo más normal y lo recomendado es que se haga por capas. Es decir, que en la primera navegación salte un banner, pop up… con la información de uso  de cookies y este a su vez contenga un enlace que redirija hacia una “política de cookies” que contenga la información detallada.

Pero no vale cualquier información

No.

Sobre las cookies técnicas y necesarias no es necesario informar (las necesarias para que la web funcione sin que recopile casi ningún dato más que el de reconocer el dispositivo y poco más)

Si utilizamos por ejemplo Analytics, Adscense, WordPres… hay que informar.

Para estos casos la información mínima es:

– Qué es y tipos de Cookies (técnicas y necesarias no precisan información)

– Para qué usamos esas cookies

– Si son propias o de terceros (detallar y facilitar dónde podemos conseguir más información)

– Mecanismo de desactivar cookies según navegador

 

Yo no tengo nada de eso.

Bueno, si tenemos en cuenta que las sanciones van desde 30.000 euros hasta 150.000, por si acaso, hazte un chequeo con estas aplicaciones para el navegador que te dicen que cookies contiene cada web: ADVANCE COOKIE MANAGER 5.7, y Chrome además tiene su propio gestor, bastante útil, tanto para conocer las cookies que tienes como para gestionar las de terceros.

 

Cookies en WordPress

Parece muy fácil cumplir con la ley, pero lo cierto es que no lo es.

Hablo de WordPress porque es el gestor de contenidos que mejor conozco, no sé si se dan los mismos problemas en otras plataformas, pero intuyo que sí.

Para empezar debemos saber que WordPress, ya deja cookies de las que se deben informar. Son las de los comentarios, se pueden desinstalar, aquí te dejo una herramienta bastante eficaz.

Cuidado si usas JETPACK, contiene cookies de las que hay que informar. Chequea la web e informa.

 

Pero yo tengo un plugin y ya voy bien.

Pues no. La inmensa mayoría de plugins, por no decir todos salvo excepciones contadas, no se ajustan a la ley española, que exige que no se instalen las cookies hasta su aceptación informada.

Ni COOKIE LAW INFO, ni COOKIE CONTROL, ni COOKIE WARNING, COOKIE LEY ESPAÑOLA…, cumplen con las exigencias españolas.

Tal es así, que en las primeras resoluciones sancionadoras de la Agencia Española de Protección de Datos, se dan casos de sanciones a webs que tienen estos plugins y que son como si no tuvieras nada.

Después de mucho probar he llegado a la conclusión de que COOKIES PRO es uno de los que más se acercan a los requisitos de la ley, pero no es efectivo en todos los casos. Tras recomendarlo en la charla como un plugin efectivo, lo cierto es que algunas se le escapan, y me han escrito asistentes que  lo han probado y han visto como algunas cookies se le cuelan.  Ahora estoy probando CARTOGRAF COOKIE FILTER, también parece que funciona, habrá que ver en cada caso y en cada navegador.

Si encontráis el plugin o solución técnica no invasiva a nuestros males, os lo agradecería con toda mi alma. Y el resto del mundo también.

Buscando en otras webs y foros no he encontrada tampoco una solución convincente.

 

Declararse objetor de conciencia de la ley puede ser muy bello, pero una faena si te cae un multón de los que están cayendo. Y no hablamos de enormes empresas que gestionan datos a gran escala. No. Hablamos de gente como tú y como yo que tenemos una pequeña web para trabajar.

Como decía uno de los asistentes a la charla: “El mejor plugin es Virgencita que no me pillen”.

Suerte.

Y si alguien quiere la presentación en PDF con la que ilustré la charla por ser útil para una consulta rápida, que no dude en pedirla. It’s free.

 

Mándame un e-mail que te abriré mi buzón (si no eres SPAM)

Llevaba tiempo con un artículo en la cabeza (figuradamente), ya que malgasto un par de minutos cada día en limpiar la bandeja de entrada de mi correo de spam.  Muchos de esos correos,  procedentes de empresas o páginas a las que jamás me he suscrito ni he mostrado el menor interés en recibir su información.

Por eso, me he preguntado si el resto de la humanidad convive con esta pesadilla, y como me temo que sí, voy a contaros las posibles soluciones para los remitentes y los receptores.

Lo primero que debemos tener en cuenta es que un email no es como un correo postal o un panfleto, algo que muchos confunden,  y envían de manera masiva sin realizar un filtro legal,  y moral, buzoneo  puro y duro, pero electrónico.  Es por eso que los correos electrónicos requieren de unas consideraciones especiales para limitar su uso comercial, dada su facilidad de envío, reproducción y bajo coste.

Así que voy a  resumir los requisitos legales de los emails comerciales, detalles que muchas empresas están pasando por alto. Y que por la proliferación de negocios online, es cada vez  más habitual que muchas campañas publicitarias se realicen íntegramente en la red, y por tanto conocer y cumplir la normativa correspondiente es primordial. Sigue leyendo

Antes de seguir, como ya sabéis de mis inquietudes, os voy a dejar un dato curioso, y es que la palabra SPAM, es el acrónimo de “Spice Ham”, una carne enlatada muy popular en Reino Unido. Y empezó a utilizarse para referirse a estos correos “enlatados” por este sketch de los Monty Python. Los correos spam son a los correos lo que la comida enlatada a la comida.

 

REQUISITOS LEGALES

Esta materia se regula en la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de Comercio Electrónico, que fue modificada por el Real decreto ley 13/2012 y por la nueva Ley General de telecomunicaciones, y la Ley Orgánica de Protección de datos.

Básicamente los requisitos que debemos cumplir son los siguientes:

 

–          Contratar a Martina Klein (opcional). La ley no dice nada al respecto pero debe ser muy eficaz.

 

–          PROTECCIÓN DE DATOS: Que el destinatario haya dado su consentimiento a la recepción de esos emails, ya sea por suscripción, solicitud… Sólo hay un caso en el que esa autorización no se requiere, y es cuando se trate de: Clientes y usuarios, para comunicaciones de productos propios y que se trate del tipo de productos o servicios que ya hayan podido contratar. Es decir, necesitamos que nos hayan facilitado conscientemente esa dirección, como es suscribiéndose voluntariamente a una newsletter o hayan contratado ya nuestros servicios o productos. SI NO ES ASÍ, NO.

Esto va directamente relacionado con la normativa de protección de datos (art.5.1LOPD), lo que quiere decir que el envío de estos emails a personas físicas supone un tratamiento de datos. Y ,como ya dijimos en su día, es preciso que antes de tratar los datos personales de una persona física, y humana, se necesita un consentimiento expreso del titular.

Si la campaña de mailing la va a realizar un tercero (empresas de marketing, publicidad, comunicación…), necesitaremos suscribir el oportuno contrato que garantice la legalidad de la cesión de datos de nuestros clientes y usuarios

También hay que tener en cuenta, que si se realiza la campaña desde una plataforma dedicada a tal fin (tipo MailChimp), hay que leer atentamente sus condiciones y si cumple con la normativa vigente, con especial atención a aquellas con sede internacional y normativa aplicable distinta, ya  que a efectos de la LOPD puede considerarse una TRANSFERENCIA INTERNACIONAL DE DATOS, y  para ello la ley establece una serie de requisitos muy estrictos.

Si queréis saber más sobre cómo adaptarse a la Ley Orgánica de Protección de Datos, AQUÍ tenéis una pequeña introducción

 

–          En cuanto al CONTENIDO DEL EMAIL que vayamos a enviar, lo primero a tener en cuenta  es que el anunciante  que envía o en nombre de quién se envía tiene que aparecer perfectamente identificado, la denominación social o nombre completo si es persona física.

 

–          El anunciante o emisor tiene que facilitar una dirección o un sistema desde el que revocar el consentimiento que hemos dicho antes, para no continuar recibiendo emails. Que bien puede ser una dirección de correo electrónico o un enlace que permita la solicitud de baja.

 

–          Hasta hace menos de un mes, que se aprobó la nueva Ley General de Telecomunicaciones (que incluye muchísimas novedades que iremos viendo poco  a poco en la web), era obligatorio que  apareciera al inicio de esa comunicación comercial la palabra “PUBLICIDAD” o la abreviatura “PUBLI”. Ahora  ha desaparecido esa obligación, pero sí se mantiene que se identifique el carácter comercial de la comunicación, y parece que la fórmula más reconocible y práctica más recomendable es que se siga manteniendo la inclusión de “publicidad” como hasta ahora.

 

–          Y por supuesto, indicar al pie del contenido una cláusula informativa referente a protección de datos (ésta deberemos incluirla en todos nuestros correos profesionales) que contenga el nombre del “Fichero” donde se contienen los datos, así como los datos relativos al responsable del tratamiento y una dirección donde ejercer los oportunos derechos relativos a protección de datos. Se suele incluir junto con el sistema de baja de la lista de correo que hemos visto antes.

 

RosarioRossi_LOPD 2

 By Galymzham Abdugalimov for UNPLASH

POSIBLES SANCIONES

Si esto no se cumple, y optamos la vía fácil de adquirir direcciones de correo de manera ilícita o enviar emails sin los requisitos establecidos, aparte de quedar fatal y molestar a los destinatarios, y potenciales clientes, podemos enfrentarnos a cuantiosas sanciones (aquí una resolución contra una empresa por tomar un correo de una página web para enviar publicidad a otra sin su consentimiento, 600€ por la broma )

 

Aunque son cuestiones muy evidentes, lo cierto es que la  mayoría de emails comerciales que recibimos no cumplen con esos requisitos, salvo que se trate de grandes marcas que ya están curadas de espanto y hacen muy sencillo el procedimiento de cancelación.

 

Para realizar una buena campaña de marketing a través del envío de correos, aparte de los requisitos legales, y alguno moral, no está de más que tengas también en cuenta recomendaciones tan sabias como las que da el bueno de Frank Scipion aquí , donde te cuenta como conseguir una buena lista de correo, acorde con la ley, y a la vez fructífera para la posible campaña comercial que vayas a iniciar, así como dotar los correos de un buen contenido atractivo para su destinatario

 

Si por el contrario estás en el lado receptor, y no son bastantes las solicitudes de baja o marcar como spam ese correo indeseado desde la bandeja del proveedor de la cuenta (Gmail, Hotmail, Yahoo..), puedes interponer una reclamación ante la Agencia Española de Protección de Datos, y que ésta a su vez requiera a la empresa  para que cancele los datos e incluso sancione a la misma. Aquí tenéis el formulario de la AGPD para interponer estas reclamaciones.

 

Pues con esto y un bizcocho, os espero la semana que viene con más cosas.