Adaptación a la RGPD en el mundo de las terapias

Adaptación a la RGPD en el mundo de las terapias

En este vídeo tienes toda la información y los pasos a seguir para adaptar tu web a la RGPD. Se muestra como modificar los formularios de contacto, los popups de captación de newsletter, los textos legales, el faldón de cookies y los comentarios en el blog entre muchas otras cosas.

Información básica

La RGPD es una nueva ley a nivel europeo cuya finalidad es:
  1. Proteger los datos personales de los usuarios. Tu, como persona que recoges datos de tus clientes o futuros clientes tienes la obligación de informar que los recoges, qué haces con ellos, cómo los proteges, etc. y todo eso a través de todas las vías, es decir, la online (web, webinars, etc.) como la offline (en consulta, en charlas y talleres, etc.)
  2. Ser transparente en el tratamiento de estos datos

Obligaciones

Por el hecho de estar almacenando datos de carácter personal, debemos cumplir una serie de obligaciones a nivel legal.

Obligación de informar

Debemos informar a la persona de la que recogemos los datos de varios temas que veremos a continuación. Esta información debe estar reflejada en cualquier medio de recogida de datos como:
  1. Documento en papel donde recojamos datos
  2. En todos los formularios de la web, comentarios del blog, newsletter, …
  3. Vía telefónica si recogemos datos
  4. En Apps móviles con datos personales
En esta nueva ley es obligatorio informar por capas. ¿Qué significa esto? Que no podemos tener toooda la información en 1 documento infumable. El cliente, antes de inscribirse en cualquier lado debe tener un “resumen”, lo que se llama primera capa o coletilla, para que reciba la información básica sin tener que ir a la nota legal o la política de privacidad.
¿Qué información debe tener esta primera capa?
  1. Quien es el responsable del tratamiento de los datos
  2. La finalidad. Para qué vas a usar estos datos. Fíjate que para cada formulario de la web será distinto. En el caso del newsletter, la finalidad será mandarle el newsletter, en el caso de un formulario de contacto será para poder responderle a su pregunta, y en el caso por ejemplo de un documento en papel que firman en consulta, será para recoger datos personales de la terapia y poder hacer un seguimiento del cliente.
  3. Legitimación. Este punto es muy importante. Es el punto en el que queda claro que es legítimo recoger estos datos para poder ejecutar la finalidad. Esta legitimación puede ser simplemente el consentimiento del cliente de forma tácita y explícita marcando la casilla. Hay otros tipos de legitimación en función de la finalidad del tratamiento.
  4. Destinatarios. Estos datos se van a almacenar en algún lado. En OVH servidor de la web, por ejemplo, si usas Ninja Forms y estos datos se almacenan. Otro destinatario podría ser un programa de Newsletter como Mailchimp, etc… En el caso de no ir a ninguna otra plataforma externa de un tercero, la coletilla debe indicar que no se cederán los datos a terceros. EN caso de que los “terceros” no estén sujetos a la RGPD, por ejemplo, empresa de EEUU que no se hayan acogido, esto debe informarse. En mi ejemplo lo podéis ver.
  5. Derechos. Indicarle al cliente los derechos que tiene sobre estos datos y como puede ejercerlos.
Mínimo debe haber estos 5 puntos en todas las coletillas ya sean en la web como en papel. Fíjate que en los ejemplos que te proporciono están estos puntos descritos.
Ejemplo resumido:
Responsable: Alejandro Novell Ulloa
Finalidad: Mandarte información de tu interés como vídeos, artículos y próximas actividades gratuitas, así como información sobre nuestros cursos
Legitimación: Tu consentimiento explícito de que quieres recibir esta información
Destinatarios: Los datos que me facilitas están en mi servidor de web y email OVH que cumple la RGPD y en Infusionsoft), mi programa de gestión de clientes y email marketing que no está acogido al convenido de seguridad entre la UE y EEUU. Al cumplimentar este formulario consientes que ambos proveedores manejen estos datos.
Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@alexnovell.com así como el derecho a presentar una reclamación ante una autoridad de control.

Obligación a ofrecerle sus derechos

Por el hecho de recoger estos datos, el cliente tiene derechos sobre ellos:
  1. Solicitar acceso a ellos
  2. Solicitar rectificarlos o suprimirlos
  3. Solicitar que se limite su uso a ciertas finalidades
  4. Oponerse a su uso
  5. Solicitar la portabilidad

Obligación de protegerlos

Esto ya sucedía con la LOPD. Por el hecho de tener datos de carácter personal estamos obligados a:
  1. Proteger estos datos. Si son datos básicos como teléfono, nombre, email, … deben protegerse con un sistema de seguridad básico. De todos modos es importantes que estén bajo contraseña, no accesibles por terceras personas que no han firmado documentos de confidencialidad, etc. Si estos datos son sensibles o muy sensibles, como por ejemplo datos médicos, solvencia, de raza, de orientación sexual, etc. Deben protegerse con sistemas de seguridad mucho más seguros. Bajo llave si son en papel o encriptados si es online. Existen plataformas online que permiten guardar fichas de clientes con datos sensibles y que cumplen la RGPD
  2. Guardar su aceptación de uso de datos. Cuando un cliente acepta, ya se a través de un formulario o a través de un documento en papel, que dispongas de sus datos para ciertas finalidades, esa aprobación debes guardarla. Si en algún futuro recibieras una reclamación, debes poder demostrar que el cliente ha legitimado el uso de esos datos de forma explícita.

Obligación de recibirlos de forma explícita y no tácita

  1. Para la captación de nuevos contactos es necesario que notifiques de cualquier recogida de datos antes de hacerlo e informes de lo mencionado anteriormente (derechos, etc.) y nunca des por sentado que lo aceptan sin su consentimiento directo
  2. Si ya dispones de una base de datos debes asegurarte de que el cliente te dio los datos sabiendo claramente para qué ibas a usarlos y sus derechos. SI los captaste a través de unos webinars o a través de formularios poco claros, es obligatorio que notifiques de nuevo a toda tu base de datos que dispones de sus datos, qué datos tienes, quien es el responsable, para que vas a usarlos, etc. es decir, deben aceptar de forma clara y explícita los puntos de las coletillas.

Sensibilidad de los datos

Si estás tratando datos sensibles debes:
  1. Pedir el consentimiento explícito del cliente para su tratamiento e informar de la finalidad del tratamiento de este tipo de datos:
    1. Opiniones políticas
      Afiliación sindical
      Convicciones religiosas
      Convicciones filosóficas
      Origen racial o étnico
      Datos relativos a la salud
      Vida sexual
      Dato genético
      Dato biométrico
      Orientación sexual
  2. Realizar una Evaluación de Impacto en la Protección de Datos. Es un ejercicio de análisis de riesgos para detectar allí donde la aplicación del servicio pueda suponer un riesgo en la protección de sus datos y así poder un plan y unas medidas de protección adecuadas. Esta evaluación es necesaria cuando hay un alto riesgo en la protección de los datos
  3. Llevar un registro del tratamiento de los datos. Quien accede, cuando, qué modifica, elimina, añade, etc… No es obligatorio en empresas de menos de 250 empleados siempre y cuando no se traten datos muy sensibles, como es el caso de datos relativos a la salud.
  4. Cumplir con las medidas de seguridad necesarias para proteger estos datos.
    1. Datos encriptados o cifrados
    2. Sistema de gestión de registro de acceso a los datos
    3. Elaboración de una lista de personas autorizadas
    4. Definir un procedimiento seguro para su tratamiento
Te recomiendo encarecidamente que contrates un servicio profesional en el caso que recojas datos sensibles. En el vídeo te recomiendo una plataforma online para hacerlo. Yo personalmente he usado esta web, es muy buena y a nivel de precio mucho más barato que contratar a un abogado directamente. Al principio tienes que pegarte una currada guapa de rellenar datos, pero después te saca automáticamente tooooodos los textos legales y las coletillas listas para copiar y pegar.

Textos legales y coletillas

Las plantillas de la nota legal, la política de privacidad y la de cookies deben adaptarse perfectamente a tu actividad. Con lo cual te recomiendo que NO hagas un copiar & pegar directamente de otra web. Es importante que la revises bien y lo mejor es que te la revise o genere un especialista. SOBRETODO si estas recogiendo datos sensibles.

Código de las coletillas para los formularios de ninja forms

Os adjunto los códigos de los que hablo en en vídeo. En rojo todo aquello que debéis modificar con vuestros datos proporcionados por un profesional:
Este es el código para poner la casilla de verificación de “He leído y acepto la Nota Legal y la Política de Privacidad”
He leído y acepto la <a href=”https://gestionymarketingparaterapeutas.com/nota-legal/” target=”blank”>Nota Legal </a>y la <a href=”https://gestionymarketingparaterapeutas.com/politica-de-privacidad/” target=”blank”>Política de Privacidad</a>
casilla de verificación rgpd marketing para terapeutas
Este es el código para la coletilla extendida:
<small>Gestión y Marketing para Terapeutas te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Alex Novell Ulloa (38171767R) como responsable de esta web.<br>
La finalidad de la recogida y tratamiento de los datos personales que te solicito es para poder mandarte información de tu interés como vídeos, artículos y próximas actividades gratuitas, así como información sobre nuestros cursos. <br>
Al rellenar el formulario y aceptando las condiciones, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades descritas  <br>
Como usuario e interesado te informo que los datos que me facilitas estarán ubicados en los servidores de OVH HISPANO (proveedor de hosting de Gestión y Marketing para terapeutas)&nbsp;dentro de la UE.&nbsp;Ver política de privacidad de OVH HISPANO. (<a target=”_blank” href=”https://www.ovh.es/soporte/aviso-legal/#data-perso”>OVH</a>).  <br>
Como usuario e interesado te informo que los datos que me facilitas también estarán ubicados en los servidores de Infusionsoft (proveedor de email marketing de Gestión y Marketing para terapeutas)&nbsp;fuera de la UE en EEUU. &nbsp;Infusionsoft no está acogido al convenio de seguridad entre UE y EEUU (Privacy Shield), por lo que no garantiza unos niveles de seguridad adecuados en la transferencia internacional de tus datos. Al cumplimentar este formulario consientes expresamente dicha transferencia internacional de datos.&nbsp;Ver política de privacidad de Infusionsoft. (<a target=”_blank” href=”https://www.infusionsoft.com/legal/privacy-policy”>Infusionsoft</a>).<br>
El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud. <br>
Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@alexnovell.com así como el derecho a presentar una reclamación ante una autoridad de control.<br>
Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: https://gestionymarketingparaterapeutas.com/, así como consultar mi <a href=”https://gestionymarketingparaterapeutas.com/politica-de-privacidad/” target=”blank”>Política de Privacidad</a>.
</small>

 

coletilla rgpd extendida marketing para terapeutas

Este es el código para la coletilla resumida:
<small><strong>Responsable</strong>: Alejandro Novell Ulloa<br>
<strong>Finalidad</strong>: mandarte información de tu interés como vídeos, artículos y próximas actividades gratuitas, así como información sobre nuestros cursos<br>
<strong>Legitimación</strong>: Tu consentimiendo explícito de que quieres recibir esta información<br>
<strong>Destinatarios</strong>: Los datos que me facilitas están en mi servidor de web y email <a target=”_blank” href=”https://www.ovh.es/soporte/aviso-legal/#data-perso”>OVH</a> que cumple la RGPD y en <a target=”_blank” href=”https://www.infusionsoft.com/legal/privacy-policy”>Infusionsoft</a>), mi programa de gestión de clientes y email marketing que no está acogido al convenido de seguridad entre la UE y EEUU. Al cumplimentar este formulario consientes que ambos proveedores manejen estos datos. <br>
<strong>Derechos</strong>: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@alexnovell.com así como el derecho a presentar una reclamación ante una autoridad de control.<br>
</small>
coletilla rgpd resumida marketing para terapeutas

Otros lugares donde poner las coletillas

Si recoges información en hojas de feedback después de actividades que realizas, en los emails que mandas (ya sean emails directos a una persona o vía newsletter), en el documento de exclusión de responsabilidad que te firma un cliente al venir a consulta, en la tienda online en el momento de la compra, etc… en todos estos documentos debes incluir la información obligatoria de la que hemos estado hablando hasta ahora para que el cliente sepa que vas a hacer con sus datos y cuales son sus derechos.

Otros temas referentes a la web

Recordarte que es imprescindible que tu web sea segura, es decir que tenga un certificado SSL. La mayoría de proveedores de alojamiento (hosting) ya lo incluyen, pero recuerda configurar tu WordPress para que esté activo.

No Comments

Give a Reply