RGPD per a webs: el mínim imprescindible per complir la llei sense voler-te morir

L'Agència Espanyola de Protecció de Dades (AEPD) va sancionar el 2023 amb més de 30 milions d'euros en multes a empreses per incompliments del RGPD. La major part d'aquestes sancions no van anar a grans corporacions —moltes van ser a pimes i autònoms per errors bàsics: banners de cookies enganyosos, políticas de privacitat copiades sense adaptar, o formularis que recollien dades sense base legal clara. La bona notícia és que complir el RGPD de manera bàsica és assolible per a qualsevol web en menys d'un dia de feina.

Els 6 elements que cap web pot ignorar

El primer és el banner de cookies correcte. No és suficient amb un banner que diu 'Usem cookies'. El RGPD exigeix consentiment actiu, lliure, específic i informat. Això vol dir: el banner ha de tenir una opció clara de 'Acceptar tot' i 'Rebutjar tot' (o equivalent), no pot haver-hi cap opció pre-marcada, i les cookies no analítiques ni de màrqueting no es poden activar fins que l'usuari les accepti explícitament. Usar Google Analytics sense el consentiment previ de l'usuari és una infracció.

El segon és la política de privacitat real. No la que has copiat d'un altre web. La teva política ha d'indicar: qui és el responsable del tractament (nom, NIF o CIF, adreça), per a qué s'usen les dades (base legal de cadascun dels tractaments), amb qui es comparteixen (Google Analytics, el teu proveïdor de hosting, el servei d'email marketing), quant de temps es guarden, i com pot l'usuari exercir els seus drets (accés, rectificació, supressió, portabilitat).

• Banner de cookies RGPD-compliant: plataformes com Cookiebot, Axeptio o CookieYes generen banners conformes automàticament. Connecten amb GA4 i Google Ads per activar-los o desactivar-los en funció del consentiment.
• Política de privacitat adaptada: revisa-la almenys una vegada a l'any o quan canviïs algun proveïdor de serveis que tracti dades. Una plantilla genèrica que no menciona els teus proveïdors reals no és vàlida.
• Registre d'activitats de tractament: el RGPD exigeix als responsables del tractament mantenir un registre intern de totes les activitats de tractament de dades. En la pràctica, és un document que llista: tipus de dades, propòsit, base legal, destinataris, terminis de conservació.
• Contractes amb encarregats del tractament: cada proveïdor extern que tracta dades dels teus usuaris (hosting, CRM, eina d'email marketing, xat en línia) és un 'encarregat del tractament'. Has de tenir signat amb ells un DPA (Data Processing Agreement). La majoria de proveïdors grans (Google, Mailchimp, HubSpot) els ofereixen a través del seu panell.
• Formularis amb base legal clara: cada formulari del teu web (contacte, newsletter, compra) ha d'indicar per a qué s'usaran les dades i, si és necessari, tenir una casella de consentiment actiu (no pre-marcada) per als usos no essencials.
• Procediment per a exercici de drets: has de tenir un canal clar per a que els usuaris puguin exercir els seus drets (accés, rectificació, supressió, portabilitat, oposició). Un email com privacitat@elteuweb.com és suficient. Has de respondre en 30 dies.
• Retenció i esborrat de dades: defineix quant de temps guardes cada tipus de dada. Un contact form guardat indefinidament no compleix el principi de minimització del RGPD. Implementa una política d'esborrat automàtic o manual periòdic.
• Transferències internacionals: si uses serveis d'empreses nordamericanes (Google, Meta, HubSpot), les dades es transfereixen als EUA. Verifica que l'empresa té el Data Privacy Framework (DPF) actiu o Clàusules Contractuals Tipus (SCC) signades.

El RGPD és un procés continu, no un projecte puntual

L'error més comú és tractar el RGPD com un projecte que es fa una vegada i es deixa. La realitat és que el RGPD requereix una revisió regular: cada vegada que afegeixes una nova eina (un pixel, un xat, un CRM), cada vegada que canvies de proveïdor de hosting, cada vegada que llances un nou formulari o una nova campanya de màrqueting.

Una bona pràctica és designar internament un 'responsable de privacitat' (no ha de ser un DPO si l'empresa no és gran) que faci una revisió trimestral de: el registre d'activitats, els contractes amb encarregats, el banner de cookies, i la política de privacitat. Amb 2-3 hores al trimestre, una empresa petita pot mantenir un nivell de compliment raonablement alt.

La clau no és semblar compliant —és poder demostrar-ho quan calgui. L'AEPD no multa les empreses que cometen errors; multa les que no poden provar que s'han pres mesures raonables.