13 documentos esenciales que debes tener preparados

Como seguro que has estado buceando por la red sobre el tema del RGPD, sabrás que hay mucho escrito al respecto, y me imagino que lo habrás leído en varios sitios, por aquello de contrastar la información.

Pues bien, hay una cosa que no te dicen en ninguno de ellos, y mira que he buscado y leído en sitios especializados, pero casi nadie comenta lo que te voy a desvelar ahora. No es nada extraordinario, ni es un secreto solamente para los profesionales, sino simplemente es algo de sentido común.

Y es que, necesitas tener documentos preparados para demostrar en cualquier momento, que tu sitio web, blog o nicho de mercado, está cumpliendo al 100% con la nueva ley, y que todo aquello que dices que has implementado, lo estás haciendo cada día.

⇒ ¿Porqué debo redactar esos documentos?


Si te lees el reglamento completo, en algunos artículos te insta a documentar lo que estás haciendo de manera explícita. En cambio, en otros párrafos, no lo dice de manera tan literal, pero si lees bien entre sus líneas, tienes la certeza de que lo que está diciendo allí debe de quedar reflejado por escrito, por si acaso. Si vuelves a ver el vídeo 1 sabrás a lo que me refiero.

La verdad que tanto tú como yo, que nos dedicamos a vender productos, a buscar nuevos artículos en la red y a atender a nuestros usuarios, es muy difícil que saquemos el tiempo necesario que requiere todo esto. Sobretodo porque para ello hay que leer los 99 tediosos artículos que hay redactados, para saber si tenies que dejar constancia en algún documento de algo en concreto.

Por eso cuando se conoce este punto, la gente rápidamente busca un gestor, un abogado o alguien especializado, para que se lo redacte todo, con el inmenso dineral que están pidiendo por ello.


 

regresar al menú ↑

⇒ ¿Tengo que leerme el RGPD oficial?


Como ya he dicho en alguna ocasión, yo sí me he leído el Reglamento General de Protección de Datos enterito, y he apuntado todo lo que, de alguna manera u otra, me ha ido diciendo que debía documentar.

Al final de todo este trabajo he redactado 13 documentos (para algunas personas se necesitarán más y otras pensarán que hay demasiados), en los cuales dejo constancia de todo el proceso, cuáles son los pasos que he dado para llegar hasta donde estoy, porque he elegido este camino y no otro, y finalmente, todas las medidas necesarias adoptadas. Son como un repaso documentado de todo lo hecho siguiendo la guía general para adaptar tu eCommerce al RGPD.

Aquí, como estamos hablando de leyes, siempre caben las interpretaciones. Así que, cualquiera que crea que con los documentos que posee cubre todo lo exigido por el nuevo reglamento, y sea capaz de demostrarlo en cualquier sitio, llevará tanta razón como yo, aunque sólo tengo 5 informes preparados.

Cada uno de estos 13 escritos cumple una finalidad clara y específica. Son de mi propio puño y letra, y en todos ellos hago referencia al artículo en concreto del nuevo código, que de una manera u otra me ha pedido que lo redactara.

Por mi parte no tengo ningún problema en pasártelos si te suscribes a mi canal de YouTube . Si te los envío recuerda cambiar mis datos personales y demás por los tuyos, y poner tu logo en la cabecera de cada uno de ellos.


 

regresar al menú ↑

⇒ Los 13 documentos esenciales


Los escritos que yo tengo preparados en cada una de mis webs son los siguientes:

1. Análisis y valoración de riesgos

Es seguramente el más importante de todos estos documentos, ya que al hacer un análisis de los posibles riesgos a los que están expuestas las bases de los datos personales de nuestros usuarios, podemos trazar un mapa de todas las acciones que debemos de emprender, para que ese riesgo no se materialice.

En un ejemplo, existe el riesgo de que mi base de datos se borre, por tanto para que no se materializa este riesgo, debería tener al menos dos copias de seguridad guardadas en sitios distintos. De esta manera, he averiguado lo que tengo que hacer para cubrirme las espaldas en este sentido.

Pues bien, igual que he analizado este riesgo, hay que preguntarse por todos los riesgos a los que estamos expuestos, así sacaremos todas las medidas necesarias a adoptar, para que no se hagan realidad.

2. Bloqueo de datos de usuario

Documento para enviar a un usuario que, conforme a uno de los derechos que puede ejercer, nos ha pedido que borremos sus datos personales de nuestra web.

Nosotros por una imposibilidad técnica, por ejemplo, quizás no podamos llevar a cabo este borrado de manera efectiva. A lo mejor es casi imposible montar todas las copias de las bases de datos, acceder a esos datos concretos, borrarlos y volver a hacer las copias exactamente como estaban antes.

En este caso hay que comunicarlo a la persona afectada y explicarle que puede estar tranquila, ya que con el bloqueo de datos, jamás podremos acceder a ellos.

3. Documento de confidencialidad RESPONSABLE

Tiene que estar firmado por el responsable, o sea tú, admitiendo así que has leído su contenido. En él se detallan todas las obligaciones legales que tienes por guardar los datos de tus usuarios.

Si existiera un corresponsable, se prepararía un documento como éste, modificando simplemente la descripción de la persona, quien por supuesto debería leerlo y firmarlo también.

4. Documento de confidencialidad OTROS

Es el mismo escrito anterior pero dirigido a personas, que por una razón u otra, tienen acceso también a la base de datos. Por ponerte un ejemplo, en mi caso mi mujer también tiene acceso al PC y puede llegar hasta la base de datos. Por este motivo, tiene que conocer sus obligaciones y estar de acuerdo con ellas.

5. Documento no necesitamos DELEGADO

El delegado de protección de datos (DPD) es una figura que aparece en el nuevo reglamento, y en muchas empresas o sitios webs será necesaria. En nuestro caso, como cumplimos unos requerimientos específicos, no estamos obligad@s a tenerlo. Dentro de este documento, están las pruebas de que no tenemos necesidad de contratar a esta persona.

6. Documento no necesitamos EVALUACIÓN DE IMPACTO

Del mismo modo que antes, tampoco estamos obligad@s a realizar una evaluación de impacto, porque nuestro tratamiento de datos no entraña un riesgo para los derechos y libertades de los usuarios, por ejemplo.

A parte de este punto, aquí recopilo todos los demás por los que estamos extent@s de esta tarea, la cual es muy técnica y compleja de realizar, por cierto.

7. Documento no necesitamos REGISTRO DE ACTIVIDADES

Este documento también va dirigido a demostrar algo, y es que, por el volumen de datos que recogemos y la naturaleza de los mismos, no estamos obligad@s a llevar un registro de actividades. No os podéis ni imaginar el trabajo que nos hemos ahorrado con ello.

8. Formulario de contacto del cliente

En el caso de que un usuario tuyo ejerza cualquiera de sus derechos, con este documento tendrás redactado todo lo que necesitas que rellene para confirmar su identidad y al tiempo tener guardado su consentimiento.

Puede venir bien si no tenemos automatizado todo esto procedimiento y llegado el momento lo vamos a hacer de manera manual. También puedes pegarlo en un email tipo y así solo tienes que reenviarlo a otras personas que te lo pidan.

En el paso 6 ya expliqué como podía hacerlo una persona, con usuarios registrados, a través de nuestro plugin GDPR, el cual te enseñé a instalarlo y configurarlo en el vídeo 3.

9. Información de tenencia de datos

Si por el motivo o la vía que sea, y siempre legalmente, has obtenido los datos de un usuario sin su consentimiento expreso, debes de comunicárselo por escrito antes de que haya pasado un mes desde que los tengas.

Este escrito te ayudará a ello porque lleva incorporada la primera capa de información que obliga el RGPD a facilitar, en estos casos. Esta primera capa es la misma que se tienes que poner cuando recabas algún dato en tu web, como te comenté en la lección 5.

10. Comunicación de violación de seguridad a USUARIOS

Si se diera este caso, hay que comunicarlo a los visitantes que se hayan visto envueltos, y debemos hacerlo en tiempo y forma de acuerdo con lo que exige el RGPD. Este documento está debidamente preparado para ello, también con la primera capa de información legal.

11. Notificación de violación de seguridad a la AEPD

Si este suceso llegara a producirse, al igual que has hecho antes, debes notificarlo también y en menos de 72 horas a la Agencia Española de Protección de Datos. Como ocurre en el punto anterior, tienes preparada la primera capa de información necesaria específica para este caso.

12. Registro de incidencias

Este registro es una simple tabla, con varios datos a rellenar cada vez que se produce una incidencia relacionada con las bases de datos personales de los usuarios.

Hay que anotar cuando ocurrió, si ha sido grave o no, si es necesario informar o no, si sabe porque ha ocurrido, si se han tomado medidas correctoras para que no vuelva a suceder, cuando se han implantado, etc.

13. Seguimiento interno del cumplimiento

Este documento es para atender al principio de responsabilidad proactiva, al que estamos obligados por la nueva ley. En él se recogen una serie de preguntas que hay que analizar cada cierto tiempo, para comprobar que todas las medidas que tenemos implementadas, las estamos llevando al día.

Es un análisis global e inmediato de nuestra situación real, respecto a la seguridad de los datos recabados, cumpliendo con todo lo exigido.


 

Ahora, te desgloso y explico más aún, lo que contiene cada uno de ellos en el siguiente vídeo.

El tiempo es lo único que no se puede comprar con dinero. Por este motivo estoy en una constante evolución para disfrutar el máximo de este bien con mi familia.

14 Comentarios
  1. Hola

    Gracias por la información.

    ¿Me podrías enviar esos documentos?

    Un saludo.

  2. hola, si me puedes enviar los documentos te lo agradecería.

  3. En los documentos de confidencialidad se indica que «El borrado de facturas lo realizará a los 6 años por obligado cumplimiento».

    ¿Esto significa, que si un usuario registrado realiza una compra, debo eliminar todas las ventas de 6 años atrás?

    Si el cliente solicita que se borren sus datos con anterioridad, ¿puede hacerse? Supongo que para el tema hacienda no puedo eliminar las ventas realizadas al menos en X periodo de tiempo.

    • Hola Jose,
      Los datos para la facturación se deben mantener por 6 años obligatoriamente, pero tu debes mantener los datos de ese cliente durante todo vuestra trayectoria comercial, si no te pide borrar sus datos, no hace falta que los borres si ya han pasado 6 años de esa factura.
      Por otro lado, si antes de pasar 6 años te piden que borres sus facturas y datos, no puedes hacerlo por que estás obligado legalmente a mantenerlos hasta pasado ese tiempo.
      Espero haberte resuelto la duda.
      Un saludo

  4. Hola, muchas gracias por toda esta informacion muy valiosa , ya estoy inscrita en su canal, como podria obtener esos documentos, gracias de antemano

    • Hola Nadia,
      Puedes descargarte tú misma tanto estos archivos como el resto de documentos necesarios para adaptar completamente tu web al RGPD, siguiendo los pasos que explico en este vídeo:
      https://www.youtube.com/watch?v=J8o1LKYDf5k
      He automatizado los pasos de descarga porque así me libero de tiempo para ayudaros con vuestras dudas y vosotros podéis descargaros los archivos en el momento que los necesitéis, ya que hay que tener en cuenta las diferencias horarias que pueden existir.
      Muchos ánimos y saludos.

  5. Buenas noches.
    ¡Ya en la recta final!
    Una duda. Los datos sobre empleados veo que también se consideran como activos, aunque tú pones que no tienes trabajadores, ¿cierto?.

    La pregunta viene porque yo tengo un trabajador, por lo que en caso de ser así debería modificar un poco el archivo.

    Un saludo

    • Hola Jose,
      es como tú dices, yo no tengo trabajadores y por ello, no he creado el documento para ese destino.
      Así que vas a necesitar crearte un documento para que tu trabajador te de permiso para guardar sus datos personales, como si de un registro de una alta nueva se tratara.
      A parte, si tiene acceso a los datos personales de tus usuarios debe quedar reflejado en otro documento de responsabilidad, que éste si lo tienes entre los que te he pasado.
      Saludos.

  6. Saludos!
    He visto gran parte de todo tu contenido, y vaya que si es un trabajo bien elaborado.
    Te felicito, porque me has ayudado a aclarar con tantas dudas, pues me sentía muy pérdida.

    Estos datos supongo se irán actualizando con el tiempo ya que serán necesarios cumplir con las exigencias.

    He buscado los trece documentos pero no veo dónde.

    Gracias de ante mano por los datos.

    • Hola Versos Libres,
      primeramente muchas gracias por tus palabras.
      Después comentarte que esta página va a estar siempre actualizada con todo la nueva normativa o ley que vaya saliendo y que afecte a un eCommerce, blog o web. Así que no te preocupes por eso porque os mantendré al día de todo.
      Por último decirte que ya te mandé por privado los 13 documentos junto con el resto de la información necesaria.
      Saludos

  7. Muchas gracias por todo, es de gran ayuda.

    Deje una respuesta



    Información sobre protección de datos:
    Los comentarios son revisados y aprobados por el responsable antes de publicarlos
  1. Responsable: Juan Miguel Ortells Sellés
  2. Fin del tratamiento: Controlar el spam y gestión de comentarios
  3. Legitimación: Tu consentimiento
  4. Durante cuanto tiempo: Hasta que tú lo decidas
  5. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  6. Derechos: Información, Acceso, Opisición, Rectificación, Olvido, Portabilidad, Limitar, No ser objeto de decisiones individualizadas y Presentar una reclamación ante la autoridad de control
  7. Contacto: info@temiblergpd.eu
  8. Información adicional: Más información en nuestra Política de Privacidad

  9. Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

    El inicio de sesión/registro está temporalmente inhabilitado
    Hola soy Juanmi, ¿te puedo ayudar?
    Powered by