RGPD para emprendedores: la burocracia que nadie cumple y que puede costarte una multa

Recibo emails de emprendedores que me preguntan si pueden añadirme a su lista de correo.

No los que tienen buenas prácticas. Los que me avisan de que ya lo han hecho y me preguntan si me parece bien.

La respuesta correcta es que no. Que el RGPD no funciona así. Que no puedes añadir a nadie a ninguna lista sin que hayan dado su consentimiento explícito antes. Que avisarles después es exactamente al revés de como debería ser.

Pero la mayoría no lo sabe. Y no lo sabe porque nadie se lo enseñó, porque parece una burocracia de empresas grandes, y porque hasta que alguien se queja formalmente, no pasa nada.

Hasta que pasa.

¿Qué es el RGPD y por qué le afecta al emprendedor que trabaja solo?

El Reglamento General de Protección de Datos es la normativa europea que regula cómo se recogen, almacenan y usan los datos personales. Aplica a cualquier persona o empresa que trate datos de ciudadanos de la UE. Incluido el freelance que trabaja desde casa con una lista de email de 300 personas.

No hay umbral mínimo de tamaño. Si tienes una web con formulario de contacto, tienes obligaciones bajo el RGPD. Si tienes una lista de suscriptores, tienes obligaciones. Si usas Google Analytics, tienes obligaciones. Si tienes un cliente y guardas su nombre y email en una hoja de cálculo, tienes obligaciones.

Las sanciones pueden llegar hasta 20 millones de euros o el 4% de la facturación anual global. No suelen aplicarse a emprendedores pequeños con infracciones menores, pero cuando hay una denuncia formal, la Agencia Española de Protección de Datos investiga. Y si encuentra incumplimientos, sanciona.

No es paranoia. Es que las facturas de Hacienda aparecen sin avisar y el RGPD funciona igual.

¿Cuáles son los incumplimientos más comunes del emprendedor?

El primero es no tener política de privacidad. O tener una copiada de otra web que no corresponde a lo que realmente haces con los datos. La política de privacidad tiene que describir qué datos recoges, para qué los usas, cuánto tiempo los guardas, y cuáles son los derechos del usuario.

El segundo es el consentimiento defectuoso. Una casilla premarcada no vale. Un texto que diga "al usar esta web aceptas recibir nuestra newsletter" no vale. El consentimiento tiene que ser libre, específico, informado e inequívoco. El usuario tiene que marcar activamente que quiere recibir comunicaciones.

El tercero es el banner de cookies incorrecto. La mayoría de los banners de cookies que hay en webs de emprendedores no cumplen. O no permiten rechazar fácilmente, o no distinguen entre cookies necesarias y analíticas, o instalan cookies antes de que el usuario haya consentido.

El cuarto es no tener contratos con los terceros que tratan datos por tu cuenta. Si usas Mailchimp, ConvertKit, o cualquier herramienta que acceda a tu lista de emails, tienes que haber firmado un contrato de encargo de tratamiento con ellos. La mayoría de las plataformas lo tienen en sus términos, pero tienes que haberlo aceptado conscientemente y guardarlo.

¿Qué es lo mínimo que debes hacer para estar razonablemente cubierto?

No te pido que te conviertas en especialista en privacidad. Te pido cuatro cosas.

Una política de privacidad real. No copiada, no genérica. Una que describa específicamente lo que haces. Hay servicios online que te la generan por treinta euros basándose en un cuestionario. Vale treinta euros.

Un sistema de consentimiento claro para tu lista. Formulario con casilla sin marcar, texto claro sobre qué van a recibir, confirmación por email (doble opt-in). Esto lo configuran en cinco minutos en cualquier plataforma de email.

Un banner de cookies que funcione. Hay plugins gratuitos que lo hacen correctamente. Si tu web está en WordPress, Iubenda o Cookiebot tienen opciones gratuitas que cubren lo básico.

Un registro de actividades de tratamiento. Suena intimidante pero es básicamente una lista de qué datos tienes, para qué los usas, y dónde los guardas. Un documento de una página es suficiente para un emprendedor pequeño.

¿Vale la pena preocuparse por esto si eres pequeño?

Depende de lo que entiendas por preocuparte.

No dormir mal por ello, no. Pasar un domingo en poner orden en la privacidad de tu negocio, sí.

Las denuncias ante la AEPD las puede hacer cualquier persona que sienta que sus datos han sido tratados incorrectamente. Un cliente enfadado. Un suscriptor que no consigue darse de baja. Un competidor que quiere hacerte daño. No hace falta ser una ONG de privacidad para denunciar.

El caos organizado como sistema funciona en muchas áreas del negocio. En legal no funciona. En legal el caos simplemente acumula riesgo.

Pon orden antes de que alguien te lo exija.

¿Tu TDAH está saboteando tu negocio? Hice un test de 15 preguntas que diagnostica cómo afecta a tu negocio en 5 dimensiones: dinero, foco, decisiones, energía y mentalidad. 5 minutos y sabes dónde se te escapa el dinero.