El Reglamento General de Protección de Datos (rgpd) influyó mucho en la forma en que los sitios web solicitan el consentimiento de los usuarios para el tratamiento de datos personales.
A continuación, te enseño a crear formularios de consentimiento conformes a rgpd , por qué es importante tener uno y cómo obtener, registrar y gestionar el consentimiento del usuario.
Qué hacer y qué no hacer con los formularios conformes a rgpd
Para ayudarle a cumplir rápida y eficazmente las obligaciones de consentimiento de rgpd , he elaborado una útil lista de lo que se debe y no se debe hacer:
- Utilice un lenguaje claro y sencillo en su formulario de consentimiento para que los usuarios lo entiendan.
- Ofrézcales a sus usuarios la opción de aceptar, rechazar y cambiar de opinión en cualquier momento.
- Incluya un enlace a una política de privacidad conforme a rgpd junto a su solicitud de consentimiento para que los usuarios puedan acceder a toda la información necesaria.
- NO haga del consentimiento un requisito previo para recibir un servicio si la recogida de datos no es realmente necesaria.
- NO hagas que a los usuarios les resulte más difícil decir que no que decir que sí, o de lo contrario entrarás en conflicto con la normativa.
- NO utilices soluciones engañosas, como hacer que el botón de aceptación sea más prominente que el de denegación, ya que esto no es compatible con rgpd .
Cómo hacer formularios de consentimiento conformes con rgpd (con ejemplos)
Si su empresa está sujeta a los requisitos establecidos en rgpd, puede utilizar el consentimiento como base jurídica para el tratamiento de determinados datos personales.
Si decide que el consentimiento es la base jurídica adecuada para su actividad de tratamiento, deberá seguir unas directrices específicas a la hora de solicitar el consentimiento de los usuarios.
Según rgpd, las personas deben dar su consentimiento mediante una declaración o una acción afirmativa explícita y ser:
- De forma voluntaria y gratuita
- Específico
- Informado
- Sin ambigüedades
Además, las personas deben tener derecho a retirar su consentimiento en cualquier momento con la misma facilidad con la que lo dieron.
Teniendo en cuenta esta definición legal, vamos a hablar de cómo crear un formulario de consentimiento conforme a rgpd para su sitio web o aplicación.
Recuerde que el consentimiento es una de las seis bases jurídicas en virtud de las cuales las empresas pueden tratar datos personales en rgpd.
Haga que su solicitud de consentimiento sea transparente
Incorpore estos tres requisitos de transparencia a sus formularios de consentimiento:
No utilice casillas de verificación previamente marcadas en su formulario de consentimiento
No utilice casillas de verificación previamente marcadas, consentimiento implícito o consentimiento por defecto cuando pida a los usuarios que acepten su solicitud de consentimiento. Todas estas técnicas infringen la normativa rgpd.
En su lugar, proporcione una casilla sin marcar que los usuarios deban seleccionar activamente para expresar su acuerdo.
Vea a continuación una comparación de lo que se debe y no se debe hacer con las casillas de verificación.
Como muestra el ejemplo del formulario rgpd , los usuarios deben darle libremente su consentimiento para que les envíe correos electrónicos y puedan acceder a su oferta sin suscribirse a su boletín.
Ofrezca varias opciones de suscripción
Considere la posibilidad de implementar una solicitud de consentimiento de doble opción cuando pida a los usuarios que se suscriban a una lista de correo.
En primer lugar, proporcione a los usuarios un formulario de consentimiento en línea que rellenen manualmente para suscribirse a sus correos electrónicos, luego envíe un correo electrónico de confirmación y pídales que hagan clic en un enlace para verificar su dirección de correo electrónico, añadiéndola a su lista de correo.
Aunque la obtención del doble consentimiento de esta forma no se exige explícitamente en rgpd, se trata de una buena práctica empresarial comúnmente utilizada en rgpd.
¿Cuándo no es necesaria una casilla de verificación en el formulario de consentimiento?
En rgpd, puede utilizar casillas de verificación cuando pida a los usuarios que den su consentimiento a varios elementos de un mismo formulario. Sin embargo, no tiene por qué utilizar una si el motivo del consentimiento no es ambiguo.
Por ejemplo, si utiliza una ventana emergente para solicitar el consentimiento para un boletín informativo, puede pedirles que introduzcan su dirección de correo electrónico mediante una frase clara y un botón etiquetado explícitamente para obtener un consentimiento válido.
Vea a continuación un ejemplo de las formas correctas e incorrectas de redactar este tipo de solicitud de consentimiento.
Método Opt-In adicional relativo a los correos electrónicos
Dependiendo de la legislación aplicable, es posible que se le permita utilizar datos previamente recopilados sobre una persona para enviarle un correo electrónico sin obtener su consentimiento.
Por ejemplo, esta práctica puede estar permitida en Estados Unidos, la Unión Europea, Canadá, Australia y el Reino Unido, siempre que cumpla lo siguiente:
- La persona le proporcionó su dirección de correo electrónico como parte de una venta anterior en su sitio web
- Están debidamente informados a través de un aviso, página de ventas o política de privacidad.
- Los correos electrónicos son de carácter promocional y están relacionados con productos o servicios similares a los que usted les compró originalmente.
- Sólo promocionas servicios y productos que te pertenecen a ti y no a terceros
Sin embargo, si la persona ha optado previamente por no recibir sus correos electrónicos, no podrá enviarle ningún contenido promocional por esta vía.
También debe comprobar detalladamente cada legislación aplicable, ya que la lista anterior no es exhaustiva ni de aplicación general.
Utilice el consentimiento separado de las solicitudes de otras políticas legales
La dirección rgpd le obliga a separar las solicitudes de consentimiento para fines distintos.
En otras palabras, no puede combinar su consentimiento para sus políticas legales, como sus términos y condiciones, con la suscripción a un boletín de noticias.
Para un cumplimiento completo dergpd , asegúrese de que sus solicitudes de consentimiento sean distinguibles y obvias para el usuario.
Vea a continuación un ejemplo de cómo hacerlo y cómo no hacerlo.
Opciones de consentimiento detalladas
Si su formulario de consentimiento pide a los usuarios que acepten varias operaciones de procesamiento, asegúrese de ofrecerles la opción de aceptar cada elemento por separado.
De lo contrario, su formulario de consentimiento no sigue adecuadamente la norma rgpd .
Vea a continuación un ejemplo de cómo hacerlo.
Retirar el consentimiento es tan fácil como darlo
rgpd exige que permita a los usuarios retirar su consentimiento o cambiar de opinión en cualquier momento sin consecuencias. Hacerlo debe ser tan fácil para el usuario como dar su consentimiento.
Debe informarles de cómo retirar su consentimiento, por ejemplo añadiendo una opción de exclusión en la parte inferior de sus correos electrónicos promocionales o de marketing.
A continuación, vea un ejemplo de cómo hacerlo con éxito en rgpd.
Mantener un registro del consentimiento
Además de obtener el consentimiento, rgpd también le exige que mantenga un registro de las opciones de consentimiento de sus usuarios.
Para proporcionar una prueba adecuada del consentimiento, debe llevar un registro de los siguientes datos de cada uno de sus usuarios:
- Cuando tengas su consentimiento
- Cómo lo ha obtenido
- Lo que presentó a los usuarios en el momento de obtener el consentimiento
Registro y gestión del consentimiento
La acción de inclusión voluntaria, la redacción y la ubicación de su solicitud de consentimiento conforme a rgpd es la mitad de la batalla: también debe asegurarse de mantener un registro de las elecciones de consentimiento de sus usuarios.
Según el apartado 1 del artículo 7 del Reglamento:
"Cuando el tratamiento se base en el consentimiento, el responsable del tratamiento deberá poder demostrar que el interesado ha consentido el tratamiento de sus datos personales."
Para ayudarte a cumplir este requisito legal, en las siguientes secciones te explicaré qué información debes registrar y cómo puedes permitir que tus usuarios gestionen su consentimiento.
Qué información debe registrarse
Los registros que mantenga sobre las opciones de consentimiento de sus usuarios deben ser tan específicos y detallados como el propio consentimiento.
Para un cumplimiento completo de rgpd , mantenga un registro de la siguiente información:
- Quién dio su consentimiento o se excluyó: Nombre, ID de usuario, dirección de correo electrónico u otros identificadores, incluida la dirección IP
- Cuándo dieron su consentimiento o se dieron de baja: Marca de tiempo de cuando el usuario dio su consentimiento
- Cómo aceptaron o denegaron el consentimiento: El formulario específico o el lugar del sitio en el que el usuario dio su consentimiento, como una ventana emergente frente a un formulario de registro.
- Lo que aceptaron o rechazaron: Qué consintieron exactamente, incluido el boletín semanal o las ofertas de terceros.
- Si retiraron su consentimiento y cuándo lo hicieron: Mantén un registro de cada vez que un usuario cambie su preferencia de consentimiento.
Mi método favorito para mantener un registro de las opciones de consentimiento de los usuarios es una solución automatizada, como Termly's gestión del consentimiento Platform(CMP).
Almacena un registro de las elecciones de sus usuarios, al que puede acceder en su panel de control Termly .
Cómo permitir que los usuarios gestionen su consentimiento
También debe proporcionar a sus usuarios una forma de gestionar sus opciones de consentimiento, ya que el artículo 7, apartado 3, de rgpd les otorga el derecho a cambiar de opinión en cualquier momento.
También establece que retirar el consentimiento debe ser tan fácil como darlo.
Del mismo modo, los artículos 15 a 21 del capítulo 3 de la rgpd otorgan a los consumidores los siguientes derechos sobre sus datos:
- Acceda a
- Corregir o modificar
- Transferencia
- Borrar
- Oponerse al tratamiento de sus datos para fines específicos
Para cumplir estos requisitos, coloque en su sitio web un centro de preferencias de consentimiento con controles de privacidad que permitan a sus usuarios actualizar sus opciones siempre que lo deseen.
Por ejemplo, la dirección banner de cookies del sitio web de la Autoridad Griega de Protección de Datos puede reactivarse en cualquier momento desde el pie de página.
Además, recomiendo publicar un formulario de solicitud de acceso del interesado (DSAR). Termly ofrece un formulario DSAR como parte de nuestra soluciónrgpd .
Para garantizar que sus usuarios siempre tengan acceso al centro de preferencias de consentimiento y al formulario DSAR, enlace ambos en lugares estáticos de su sitio, como el pie de página o en un centro de privacidad, si utiliza uno.
Resumen
Al hacer una reclamación rgpd formulario de consentimiento para su sitio web, los usuarios deben tener una opción real sobre cómo recopila y procesa sus datos personales.
Recuerde obtener el consentimiento del usuario siempre que se produzca una recogida de datos y mantenga un registro de la elección de cada usuario.
Asegúrese de que sus políticas de cookies y privacidad están actualizadas, e incluya un enlace directo a cada una de ellas en cualquier solicitud de consentimiento que implemente.
Más sobre el autor
Escrito por Teodor Stanciu, CIPP/E, CIPM
Teo es un especialista en privacidad de datos y experimentado responsable de protección de datos (RPD) al que le apasiona ayudar a las empresas a cumplir sus obligaciones en materia de protección de datos. Cuenta con una experiencia de más de siete años como RPD para una organización internacional activa en 50 países y con sede en Bruselas (Bélgica). Teo es Certified Information Privacy Professional/Europe (CIPP/E) y Certified Information Privacy Manager (CIPM) por la International Association of Privacy Professionals (IAPP).
Más sobre el autor
