¿Cumple mi página web con el RGPD?
[mwai_chatbot_v2 id=»default»]
RGPD
Si quieres saber si tu página web cumple con el Reglamento General de Protección de datos rellena este formulario y saldrás de dudas en menos de 24 horas.
Preguntas frecuentes sobre el rgpd aplicado a las webs
FAQS SOBRE EL RGPD
Si tienes un blog o una página web, debes cumplir con los requisitos legales establecidos por el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. En este sentido, el RGPD establece que el responsable del tratamiento debe poner a disposición del usuario, de manera accesible, la información relativa al tratamiento de los datos personales que se recogen en la web o el blog. Esto se debe hacer mediante el uso de la información por capas, en la que se proporciona información básica en la primera capa y se amplía en la segunda.
La información que se debe proporcionar incluye:
La identidad y los datos de contacto del responsable y, en su caso, de su representante.
Los datos de contacto del delegado de protección de datos, en su caso.
Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
Cuando el tratamiento se base en los intereses legítimos del responsable o de un tercero, se debe especificar cuáles son estos intereses.
Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.
En caso de que se tenga la intención de transferir datos personales a un tercer país u organización internacional, se debe informar sobre esta intención y sobre la existencia o ausencia de una decisión de adecuación de la Comisión.
Además, se debe proporcionar la siguiente información:
El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
Cuando el tratamiento esté basado en el consentimiento del usuario, se debe informar sobre el derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
El derecho a presentar una reclamación ante una autoridad de control.
Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el usuario está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
La existencia de decisiones automatizadas, incluida la elaboración de perfiles, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Además, es obligatorio llevar un Registro de Actividades de Tratamiento que contenga información sobre las actividades de tratamiento realizadas, como el nombre y los datos de contacto del responsable del tratamiento, las finalidades del tratamiento, las categorías de interesados y de datos personales, las categorías de destinatarios, los plazos de conservación de los datos personales, entre otros datos. Esta información es necesaria para garantizar un tratamiento de datos leal y transparente y para cumplir con las normativas de protección de datos.
Sí, el RGPD no solo se aplica a las páginas de venta online, sino también a cualquier página web que recabe datos de los usuarios. Incluso si solo utilizamos un sistema de analítica como Google Analytics, es necesario incluir textos legales y un buen banner de cookies para proteger la privacidad de nuestros usuarios.
Para legalizar tu sitio web, es necesario incluir los textos legales en el footer de la web: política de privacidad, aviso legal y cookies (si se usan cookies). Además, si recopilas datos de usuarios a través de correo electrónico o número de teléfono, debes incluir una casilla para recabar el consentimiento y una primera y segunda capa de privacidad.
Si recibes usuarios europeos en tu sitio web, deberás cumplir con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, independientemente de dónde estés ubicado. Si solo recibes visitas de fuera de Europa (o tienes bloqueado el acceso a ciudadanos europeos), no es necesario que cumplas con el RGPD.
Si los usuarios ya han aceptado las condiciones de contratación y privacidad en un proceso de registro previo, no es necesario incluir la casilla de privacidad en el formulario de comentarios. La información de ese formulario tiene otra base legal para el tratamiento, que es la prestación del servicio.
Si sólo tienes un correo electrónico de contacto en tu página web, debes informar al usuario de todo lo necesario en la respuesta de correo electrónico, mediante la inclusión de una cláusula informativa adaptada a las exigencias del RGPD. También necesitas disponer de una política de privacidad, un aviso legal y una política de cookies si utilizas cookies de terceros.
Si quieres tratar los datos para una finalidad distinta de lo solicitado por el usuario en su correo electrónico, tendrás que articular un mecanismo para que acepte la política de privacidad y la nueva finalidad con la que vas a gestionar sus datos.
El aviso legal es obligatorio en cualquier tipo de web ya que es el documento que identifica al propietario del sitio. Es necesario si tu web es una web corporativa de autónomo o empresa, una tienda online, o un blog particular que incluye publicidad.
No, el RGPD suprime la obligación de notificar ficheros en la agencia. En su lugar, es necesario contar con un Registro de Actividades de tratamientos, que es un documento interno que recoge los diferentes datos que se tratan en una organización.
Si un blog es estrictamente personal, de carácter doméstico y no persigue una finalidad comercial, no es necesario cumplir con el RGPD. Sin embargo, si el blog proporciona medios para tratar datos personales, sí es necesario cumplir con el RGPD. En ese caso, el tratamiento de las IP atañe al proveedor de hosting.
La obtención del consentimiento para el uso, reproducción y/o publicación de la imagen de una persona a través de cualquier medio o soporte es siempre necesaria. Según estipula el RGPD, los responsables deberían poner a disposición de los visitantes un documento informando de la finalidad del tratamiento de esos datos, el responsable y tus derechos sobre la misma. Y por supuesto, pedir autorización expresa para publicar imágenes en una web. En el momento en que una fotografía permita identificar a una persona claramente, debes contar con el consentimiento específico del afectado para ser fotografiado, informar con anterioridad de la finalidad de la captación de imágenes, lugares donde se van a publicar y quién puede acceder a ellas, informar con qué destinatarios se van a compartir esas imágenes e informar de los derechos que tiene esa persona sobre su propia imagen.
Sí, debes identificarte claramente y proporcionar toda la información sobre el tratamiento de los datos personales de los visitantes en la primera capa de los formularios y en los textos legales, incluyendo el nombre y domicilio del responsable.
Debes informar de tus datos personales en la primera capa de los formularios, en la política de privacidad, en el aviso legal y en las condiciones de contratación, y en las cláusulas legales de los correos y boletines. Si tu sitio web genera presupuestos, facturas o contratos que contengan datos personales de otros, debes incluir una coletilla legal informativa.
Sí, debes cumplir con el RGPD y la nueva LOPD en el momento en que recoges datos personales, incluso si no los almacenas.
No es obligatorio, pero es una buena práctica para asegurar que el visitante realmente desea proporcionar su información y estar en tu lista de email marketing. El doble opt-in requiere que el visitante confirme su suscripción haciendo clic en un enlace en un correo electrónico de confirmación.
Las categorías especiales de datos se refieren a tratamientos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales. Estos datos tienen una protección especial y sólo pueden ser tratados con consentimiento explícito del interesado o en ciertas circunstancias excepcionales, como para cumplir obligaciones legales, proteger intereses vitales o por razones de interés público.
Además, para el tratamiento de estas categorías especiales de datos, se deben cumplir medidas de seguridad específicas, como llevar un registro actualizado de las actividades de tratamiento, realizar evaluaciones de impacto y designar un Delegado de Protección de Datos (DPO).
Para captar leads legalmente en una fan page, es necesario cumplir con las obligaciones legales de protección de datos, como proporcionar un aviso legal que identifique y localice al empresario y la información explícita sobre los procedimientos que se siguen para la protección de los datos de los seguidores.
El administrador de una fan page es responsable conjuntamente con Facebook del tratamiento de los datos de los visitantes de la página, según el RGPD. Por lo tanto, se deben seguir los procedimientos adecuados para la protección de los datos personales de los seguidores. Por otro lado, se puede utilizar Facebook Ads para crear anuncios dirigidos a un público de calidad, utilizando herramientas de segmentación de audiencia según la ubicación, género, edad, idioma, comportamiento e intereses.
Para asegurar la resolución adecuada de cualquier incidencia de seguridad, es fundamental notificarla, registrarla y gestionarla correctamente. Todo lo que se considere una incidencia debe quedar registrado en un registro habilitado al efecto. Este procedimiento debe ser conocido por todos los empleados y colaboradores que traten datos personales en la empresa. El plan de gestión de incidencias debe tener tres fases: notificación, registro y gestión.
Según el Reglamento General de Protección de Datos (RGPD), se debe contar con un Delegado de Protección de Datos (DPD) en tres supuestos: si el tratamiento de datos corre a cargo de una autoridad u organismo público, si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala o si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas. La nueva Ley Orgánica de Protección de Datos establece hasta 16 casos concretos en los que, de manera taxativa, se exige su existencia. Los DPD deben ser conocidos por la Agencia de Protección de Datos Española y/o, en su caso, las autoridades autonómicas de protección de datos. Estos delegados deben acreditar los conocimientos especializados en el derecho y la práctica en materia de protección de datos.
Según el RGPD, como responsable del tratamiento de datos, debes facilitar a los interesados el ejercicio de sus derechos de forma visible, accesible, sencilla y gratuita. Algunos de los derechos incluyen la información completa sobre el uso de sus datos personales, el acceso a su información personal, la rectificación de dicha información, el derecho al olvido, el derecho a oponerse al uso de datos personales y el derecho a la portabilidad de datos. Para atender estas solicitudes, deberás crear un protocolo para dar curso a los derechos de los interesados, que incluya un registro de peticiones con información como la fecha de la solicitud, la identidad del solicitante y la resolución de la solicitud. También es importante verificar la identidad del interesado. Si la solicitud es completa, deberás hacer efectivo el derecho correspondiente y, en caso contrario, solicitar la subsanación de la solicitud. Debes contestar la solicitud en un plazo de un mes desde su recepción, informar al interesado de su derecho a presentar una reclamación ante la AEPD y recordar que la falta de atención o comunicación de los derechos del interesado puede acarrear una multa administrativa.
Para determinar las medidas de seguridad necesarias, es recomendable analizar los riesgos para implementar las medidas técnicas y organizativas adecuadas para detectarlos y hacerles frente. También se deben considerar las vulnerabilidades informáticas que pueden presentar los equipos y herramientas de la empresa. Para ello, es importante tener una descripción detallada de los tratamientos que realiza la empresa, su contexto y los elementos relevantes. Las medidas de seguridad se deben establecer teniendo en cuenta el estado de la técnica, los costos de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. Dichas medidas pueden incluir la seudonimización y el cifrado de los datos personales, la garantía de la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento, la capacidad de restaurar la disponibilidad y el acceso a los datos personales en caso de incidentes, las medidas adicionales exigidas por la legislación aplicable, y el proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas.
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste. El responsable decide sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones del responsable del tratamiento en cuanto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación del servicio.
El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas y que garantice la protección de los derechos de las personas afectadas. El encargado del tratamiento debe ofrecer suficientes garantías en lo referente a conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento General de Protección de Datos (RGPD).
Como responsable del tratamiento, es importante adoptar medidas apropiadas, incluyendo la debida diligencia, en la elección de encargados del tratamiento, verificar que cumplen con los requisitos establecidos en el RGPD y formalizar las relaciones en un contrato o acto jurídico.
Los contratos de encargo formalizados antes de la plena aplicabilidad del RGPD (25 de mayo de 2018) deben ser adaptados para respetar lo establecido en el artículo 28 RGPD. Aunque muchas de las obligaciones derivadas del régimen establecido en el RGPD ya están recogidas en la normativa española, es necesario modificar los contratos existentes para que sus cláusulas reflejen todos los contenidos del Reglamento, teniendo en cuenta que las remisiones genéricas al artículo del RGPD que los regula no son válidas.
Sin embargo, los contratos y acuerdos de encargo del tratamiento establecidos antes del 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos, según la Disposición transitoria segunda del Real Decreto ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de datos.
En cuanto a las obligaciones del responsable de tratamiento en el RGPD, se debe destacar que es su responsabilidad proteger los datos personales, aunque esta responsabilidad también recae en todos los participantes en el tratamiento. Una vez identificado el tratamiento de datos y la licitud del tratamiento, el Responsable debe establecer quién va a tratar los datos, ya sean personas físicas a su cargo o empresas externas contratadas para ello, y si los datos podrán ser cedidos a terceros y si se prevén realizar transferencias internacionales. En cualquier caso, deberá implementar medidas técnicas y organizativas apropiadas y proporcionadas para garantizar la protección de datos en relación con las actividades del tratamiento (política de seguridad).
El Responsable del tratamiento será el garante universal de que el tratamiento se efectúa conforme al RGPD y solo podrá desvincularse de su responsabilidad si formaliza contratos o acuerdos conforme a lo dispuesto en el RGPD con todos los intervinientes en el tratamiento. Para cumplir con estas obligaciones, el responsable de tratamiento deberá regular las obligaciones con todos los que intervengan en el tratamiento de la información, formalizando dos tipos de contratos: contratos con el personal autorizado para el tratamiento de datos (empleados) y contratos con las empresas autorizadas para el tratamiento de datos (encargados del tratamiento).
En cuanto a cuándo no es necesario obtener el consentimiento explícito del interesado, podemos mencionar varias circunstancias, como cuando exista una obligación legal o jurídica a la que esté sujeto el Responsable del tratamiento, cuando exista un contrato o precontrato con el interesado que requiera tratar sus datos, cuando los datos se puedan obtener legítimamente de archivos de acceso público, cuando exista la necesidad de la protección de los intereses vitales del interesado u otra persona física, y por un interés legítimo del Responsable del tratamiento o de terceros, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado.
En España, según la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, la edad mínima para prestar el consentimiento válido es de catorce años. Por lo tanto, si se trata de un menor de 14 años, se debe contar con el consentimiento de los padres o tutores legales para poder tratar sus datos.
El RGPD establece varios principios que deben cumplirse para garantizar la protección de los datos personales de las personas físicas. Estos principios son: la legalidad, imparcialidad y transparencia en el tratamiento de los datos; la limitación de propósito; la minimización de datos; la precisión de los datos; la limitación de almacenamiento; la no incompatibilidad con el propósito original de la recopilación de datos; y la integridad y confidencialidad de los datos a través de medidas de seguridad técnicas y organizativas adecuadas.
faqs sobre cookies
No, según la Guía sobre el uso de las cookies, hay algunas cookies que quedan exentas de la obligación de requerir consentimiento. Estas cookies incluyen aquellas utilizadas únicamente para permitir la comunicación entre el equipo del usuario y la red, y aquellas que prestan un servicio expresamente solicitado por el usuario.
Se considera que existe tratamiento de datos personales en el uso de cookies cuando el usuario está identificado por un nombre o dirección de correo electrónico, o cuando se utilizan identificadores únicos para realizar un seguimiento individualizado de los usuarios, como un ID de publicidad o retargeting.
La normativa afecta principalmente a las cookies utilizadas en campañas de marketing que utilizan datos de localización, datos personales o intereses profesionales para rastrear y compartir comportamientos y preferencias de los usuarios. Estas cookies están sujetas al RGPD y requieren consentimiento tanto para cookies propias como de terceros.
Según el RGPD, debemos tener una prueba de la aceptación del usuario para las cookies, pero no se especifica cómo hacerlo técnicamente. La mayoría de los plugins y sistemas optan por almacenar una cookie de funcionamiento en el navegador del usuario que recoge sus preferencias. Esta es la mejor solución para tener constancia del consentimiento del usuario y cumplir con la normativa. Sin embargo, es normal que se reduzcan las visitas en Google Analytics después de implementar un banner de cookies, ya que no todos los usuarios aceptan las cookies y Google Analytics funciona por cookies. El valor de los datos no está en cada usuario, sino en el comportamiento global. Podemos mejorar la aceptación de cookies haciendo el banner más llamativo y mostrando un mensaje claro a los usuarios.
No es recomendable poner el banner de cookies en medio para coaccionar al usuario para que acepte. Es importante aplicar la máxima «no hagas a tus usuarios lo que no te gustaría que te hicieran a ti». Se puede hacer visible el banner, pero no se debe coaccionar al usuario para que acepte las cookies de manera obligatoria. Esto no solo es incorrecto según el RGPD, sino que también afecta negativamente a la usabilidad y la experiencia del usuario.
No es necesario detallar el nombre de cada cookie que se utiliza en tu sitio web. Lo importante es informar a los usuarios de qué herramientas estás utilizando y si utilizan cookies, así como el tipo de uso que hacen (analíticas, publicitarias, etc.). También es recomendable incluir un enlace a las políticas de cookies de esas herramientas para que los usuarios puedan obtener más información.
Los «cookie walls» son banners de advertencia que obligan a los usuarios a dar su consentimiento para la descarga de cookies con el fin de acceder o continuar navegando por la página web. Sin embargo, este tipo de banners son ilegales, ya que forzar el consentimiento no es válido según el RGPD. Los usuarios deben tener opciones claras y activas antes de que se descarguen cookies en su equipo y se procesen sus datos.
Las cookies de afiliados, como las de Amazon, no se incluyen realmente en tu página web. Hasta que el usuario no hace clic y visita la web de destino, no se incluye esa cookie. Por lo tanto, la responsabilidad en ese caso de notificarla y bloquearla sería de Amazon.
FAQS SOBRE TEXTOS LEGALES PARA WEBS
En una página web se necesitan diferentes textos legales como los avisos legales, políticas de privacidad, condiciones de contratación y cookies, entre otros. Es importante adaptar cada uno de ellos a las necesidades de la web y el negocio.
Según el RGPD, los textos legales deben estar siempre accesibles y visibles para el usuario. Es altamente recomendable tener las distintas secciones de textos legales (aviso legal, política de privacidad, etc) siempre visibles en la parte inferior de la página web, cada texto separado y con acceso directo. Es preferible evitar ocultarlos en un desplegable o en una página de «Legal». En cuanto a las landing pages, los textos legales también deben estar visibles en el pie de la web y ser accesibles en todo momento.
No. Aunque desde el punto de vista del marketing pueda parecer adecuado centrar la atención del usuario en el contenido de la landing page, legalmente los textos legales deben estar siempre visibles para el usuario.
La aceptación por scroll para las cookies ha sido objeto de controversia y cambios de criterio. Antes de la entrada en vigor del RGPD, se consideraba válido que la navegación del usuario fuera prueba de «Acepto las cookies», pero con la entrada en vigor del RGPD solo la aceptación por botón es válida para recabar el consentimiento. En noviembre de 2019, la Agencia Española de Protección de Datos indicó que se podría considerar válida la aceptación al hacer scroll o interactuar con la página web, aunque esta apreciación no fue seguida por el resto de países. En 2020, la Unión Europea indicó que nunca se consideraría válida la aceptación por scroll y convirtió en obligatoria la aceptación con una acción clara del usuario (botón de aceptar). Actualmente, la aceptación por scroll solo sería válida en España y no a nivel global. Por lo tanto, legalmente la aceptación por scroll no es válida.
La aceptación por scroll para las cookies ha sido objeto de controversia y cambios de criterio. Antes de la entrada en vigor del RGPD, se consideraba válido que la navegación del usuario fuera prueba de «Acepto las cookies», pero con la entrada en vigor del RGPD solo la aceptación por botón es válida para recabar el consentimiento. En noviembre de 2019, la Agencia Española de Protección de Datos indicó que se podría considerar válida la aceptación al hacer scroll o interactuar con la página web, aunque esta apreciación no fue seguida por el resto de países. En 2020, la Unión Europea indicó que nunca se consideraría válida la aceptación por scroll y convirtió en obligatoria la aceptación con una acción clara del usuario (botón de aceptar). Actualmente, la aceptación por scroll solo sería válida en España y no a nivel global. Por lo tanto, legalmente la aceptación por scroll no es válida.
Sí, las cookies técnicas y de sesión, que son necesarias para el buen funcionamiento de la página, no necesitan ser notificadas ni requerir el consentimiento del usuario.
Puedes optar por almacenar el dato en WordPress o en la otra plataforma de gestión, pero debes asegurarte de que sea consistente en ambas plataformas. Si vas a hacer envíos de correo desde la otra plataforma, es mejor que sea esa plataforma quien los gestione para simplificar el proceso de ejercicio de derechos. Recuerda que siempre debes tener una prueba del consentimiento del usuario según el RGPD.
Si la web solicita datos de usuarios en diferentes lenguas, la información legal debe ofrecerse en cada una de las lenguas ofrecidas en la web para que sea posible el tratamiento de los datos de carácter personal. Es indispensable que el usuario sea adecuadamente informado en los términos establecidos por el RGPD y la nueva LOPD (LOPDGDG).
Deberás contar con un aviso legal, una política de privacidad, una política de cookies, un faldón o pop up de cookies y primeras capas informativas en formularios de suscripción, comentarios y contacto. También se necesitan cláusulas informativas RGPD en correos y boletines.
FAQS SOBRE LA POLÍTICA DE PRIVACIDAD EN LAS WEBS
En las últimas versiones de WordPress, hay un ajuste de privacidad en la sección de «Ajustes -> Privacidad» donde se puede especificar la página de privacidad. Es recomendable activarlo para que algunos plugins de privacidad funcionen mejor.
No, la página de privacidad por defecto de WordPress no cumple con el RGPD. Aunque incluye un texto legal, es solo una hoja de ruta sobre lo que se debe incluir en una política de privacidad. Se recomienda completar el texto con una plantilla de política de privacidad y nunca dejar la propuesta por defecto de WordPress.
No, según el RGPD no se puede condicionar la decisión del usuario de aceptar las cookies para mostrar el contenido de un sitio web. Si utilizamos servicios de terceros y no podemos bloquear sus cookies, se puede impedir que el usuario acceda a ese contenido por motivos de protección. Lo mismo sucede con los banners o servicios publicitarios, donde se deben bloquear hasta que el usuario acepte las cookies.
Debes borrar los datos personales después de 1 año o mientras dure la relación con el usuario. Si el usuario se ha convertido en cliente o sigue teniendo comunicación contigo, podrás seguir utilizando y almacenando sus datos. Pero siempre debes darle la opción de cancelar la suscripción o solicitar el acceso y borrado de sus datos.
Respecto a tu base de datos, uno de los requisitos es que sea verificable. Es decir, deberás acreditar que lo has obtenido conforme exige la ley, algo imposible si no has obtenido los datos del interesado. Por tanto, debes buscar la manera de obtener el consentimiento o borrar los registros directamente. En cualquier caso, para poder decir que el consentimiento es acreditable, las empresas deben poder acreditar y documentar quién otorgó su consentimiento, cuándo y cómo se otorgó el consentimiento y qué información recibió la persona que consintió.
La cesión de datos solo podrá hacerse cuando la motivación tenga que ver con la actividad legítima de la organización o de la persona o empresa a la que se cedan los datos. Además, antes de realizar la cesión, será necesario contar con todos los consentimientos de las personas cuyos datos serán cedidos a terceros, tanto para la recogida de sus datos personales como para su tratamiento y cesión. Sin este consentimiento expreso, inequívoco, específico y verificable, no podría realizarse esa cesión, es motivo de infracción grave.
Según el RGPD, debes informar a las personas sobre los datos que recopilas, para qué los recopilas y cómo los utilizarás, y obtener su consentimiento específico para incluirlos en una lista de email marketing. También debes mantener un registro del consentimiento para cumplir con el RGPD.