Cómo cumplir la normativa legal para páginas web

Si te enteraste tarde de nuestro último webinar gratuito sobre cómo hacer que una página web cumpla los requisitos legales para evitar que nos sancionen, no te preocupes: en esta entrada compartimos un resumen de las conclusiones.

En el último seminario web de Escuela de Internet aprendimos qué es el RGPD y qué tenemos que hacer exactamente para que nuestra página web cumpla todos los requisitos y no tengamos ningún problema de tipo legal. Podéis ver la grabación de la sesión aquí, pero también os dejamos los apuntes por escrito, por si necesitáis una chuleta.

1. Qué es el RGPD

Es un reglamento que desde mayo de 2018 legisla sobre la protección de los datos para proteger la privacidad y los datos personales de los ciudadanos de la UE. Establece reglas sobre la recopilación y el tratamiento de esos datos, les otorga control a los individuos sobre lo que quieren compartir e impone medidas de seguridad a las empresas, personas y organizaciones so pena de sanción si las incumplen.

El RGPD nació, en definitiva, para evitar malas praxis como la compraventa de datos personales de los clientes o usuarios, sean estos particulares, autónomos, empresas u otras organizaciones.

Concretamente, en lo tocante a una página web, este reglamento repercute en cinco aspectos:

1.Consentimiento informado

Si queremos utilizar datos de un cliente o un usuario para prácticas como mandarle una newsletter, mandarle información por correo electrónico, llamarle, etc., es necesario que acepte o rechace cada una de estas acciones de manera individualizada: el reglamento no acepta la autorización en bloque de todas las prácticas (con un único check). Además, si el usuario cambia de opinión en cualquier momento, debe poder indicarnos sus preferencias sin trabas.

Por otra parte, un aspecto fundamental del consentimiento es la accesibilidad de la información. Dicho de otro modo, toda la información relativa al uso de datos personales no puede estar oculta ni ser muy difícil de encontrar. Al contrario, debe estar visible sin dificultades, y debe exponerse claramente y con un lenguaje que el público objetivo pueda entender. Por tanto, el RGPD también afecta a cuestiones de diseño como los botones (la opción para rechazar tiene que tener el mismo tamaño y color que la de aceptar), así como a la traducción de los textos legales, que deben estar disponibles en el idioma de los usuarios.

2. Política de privacidad y cookies transparente

Debemos informar sobre lo que vamos a hacer exactamente con los datos y cookies, y dónde, cómo y cuánto tiempo los guardamos. En este sentido, como dueños de una página web, debemos disponer de los medios necesarios para que los datos estén bien protegidos —por ejemplo, que el ordenador donde están guardados tenga una clave privada, que el fichero con los datos esté cifrado— y explicar cómo estamos protegiéndolos.

3. Gestión de cookies

En nuestra página web, tenemos que informar sobre las cookies que instala nuestra página web. Hay que especificar todos los tipos que usamos y permitir que el usuario acepte o rechace cada clase de cookies. No se puede instalar ninguna cookie hasta que el usuario acepte explícitamente esta acción.

4. Seguridad y control de los datos

Debemos mantener un registro actualizado (conocido como log) de todos los consentimientos:

• Fecha y hora: el momento exacto en que se obtuvo el consentimiento.
• Descripción de la finalidad: para qué se está solicitando el consentimiento.
• Método de obtención: cómo se obtuvo el consentimiento (formulario, casilla de verificación, una firma digital, etc.).
• Texto del consentimiento: mensaje exacto firmado por el usuario, como una declaración del tipo «Acepto recibir correos electrónicos promocionales».
• Identificación del usuario: mediante un identificador único o el nombre de usuario.
• Almacenamiento seguro: método para asegurar que los registros de consentimiento no puedan ser alterados.

Este documento de registro debe guardarse en un formato fácilmente accesible, para poder presentarlo en caso de que nos lo solicite alguna agencia estatal de protección de datos.

4. Derechos de los usuarios

Los usuarios tienen una serie de derechos: acceder a su información, poder eliminar todos los datos que hemos almacenado de ellos, etc.

En la página web, se debe informar de todos estos derechos y se debe explicar qué es lo que tiene que hacer el usuario si quiere reclamar cualquiera de estos derechos: por ejemplo, ¿cómo puede un usuario pedirnos que borremos sus datos?

¿Todas las páginas web deben cumplir estos requisitos?

Hoy en día, prácticamente todas las páginas web deben cumplir el RGPD; sin embargo, existe una excepción: si la web no instala cookies ni vende nada, si no se reclama identificación alguna a los usuarios ni ofrece ningún servicio como un boletín, es decir, si solo publica información y no tiene formularios, no es necesario disponer de aviso de cookies ni política de privacidad y cookies.

¡Ojo! Si no hay formulario, pero sí se ofrece una dirección electrónica para que los usuarios puedan ponerse en contacto, no hará falta política de cookies, pero se deberán cumplir las leyes locales en materia de privacidad y protección de datos, para lo cual es recomendable disponer de asesoría legal.

¿No sabes si tu página web usa cookies?

La gran mayoría de las páginas web usan cookies: si utilizas Google Analytics para monitorizar el tráfico, tu web tiene cookies que los usuarios deben aceptar o rechazar.

Si no lo tienes claro, puedes comprobarlo con cualquiera de estos métodos:

1. Opción «Inspeccionar» (Chrome o Firefox):

1. Entra en la página web y, en cualquier parte, clica el botón derecho del ratón.
2. En el menú emergente, clica «Inspeccionar» o «Inspeccionar elemento». Se abrirá un panel en la parte inferior de la ventana. Este panel se llama consola de desarrollo.
3. En la consola, busca la pestaña «Almacenamiento» (en Firefox) o «Application» (en Chrome).
4. Dentro de esa pestaña, verás una opción llamada «Cookies» que muestra las cookies que utiliza el sitio web.
5. Herramientas en línea:
6. Hay programas como Sitechecker.pro que enumeran las cookies que guarda un sitio web.

Sanciones por incumplimiento

La Agencia Española de Protección de Datos (AEPD) es el organismo encargado de garantizar el cumplimiento de las normativas de protección de datos y velar por la privacidad de los ciudadanos.

El objetivo de la AEPD no es recaudatorio, es decir, no se dedican a escanear webs al azar para ver si pueden multar a algún autónomo, consultoría, gestoría… Las auditorías de oficio que llevan a cabo suelen ser a grandes empresas, porque las vulnerabilidades que pueden tener son mucho mayores.

No obstante, el RGPD es universal, por lo que los autónomos y las pequeñas empresas no están exentos de cumplirlo y pueden ser investigados debido a denuncias u otras razones.

En ese caso, la AEPD solicita los registros del tratamiento de datos personales para evaluar los detalles sobre qué datos recopilamos, con qué propósito y cómo los procesamos. Además, verifica el banner de cookies para comprobar que se bloqueen antes de obtener el consentimiento del usuario. También revisa detenidamente las políticas de privacidad, avisos legales y cualquier otra documentación pertinente para analizar si es transparente.

Si un inspector solicita los registros de consentimiento y la empresa no los tiene o estos son incompletos, las sanciones varían según la gravedad de la infracción, que se determina evaluando factores como la intencionalidad, la cooperación, la naturaleza de los datos afectados y la duración de la infracción. La mala fe o la falta de diligencia pueden aumentar la gravedad de la sanción:

• Infracciones graves: si no se pueden proporcionar los registros de consentimiento o están incompletos. Las sanciones oscilan entre 600 y más de 60 000 euros.
• Infracciones muy graves: si la falta de registros de consentimiento afecta gravemente los derechos de los interesados o incumple principios fundamentales del RGPD. Las sanciones son significativamente más altas y se calculan en función de la gravedad y la naturaleza de la infracción.

• Cada país tiene sus normas concretas

El RGPD es una normativa europea que pone unos mínimos legales que deben cumplir todos los Estados miembros, pero, a partir de ahí, cada país legisla de la manera que considera que mejor protege a sus ciudadanos.

Por ejemplo, el RGPD establece que la edad mínima para poder dar el consentimiento legal, sea sobre las cookies o sobre la política de privacidad, son 13 años. Sin embargo, cada país ha fijado la edad que considera: en España e Italia son 14 años; en Francia, 15, y en Portugal, 16.

Lo mismo sucede en otras partes del mundo. Por lo tanto, si un negocio vende en los Estados Unidos, debe cumplir también las leyes de protección de datos del país norteamericano.

¿Cómo saber qué leyes de protección de datos estatales hay que cumplir?

Para saber qué leyes debemos cumplir, debemos tener en cuenta los puntos siguientes:

1. ¿Dónde está registrada mi empresa o entidad?
2. ¿Dónde ofrezco mis productos o servicios?
3. ¿Dónde tengo actividad?

Pongamos un ejemplo: Tengo una empresa de material médico con domicilio en Madrid que solo vendía a centros de los Estados Unidos, pero hace poco ha empezado a hacer encuestas y sondeos en hospitales de Latinoamérica (Perú y Brasil) para encontrar nuevos clientes.

En ese caso, tendré que cumplir las normativas siguientes:

1. España: Porque mi empresa tiene su sede en España.
2. Estados Unidos: Porque mis compradores están basados ese país.
3. Perú y Brasil: Porque mi proyecto implica contactos con organizaciones de dichos países.

Importante: Al publicarse en Internet, todas las páginas están visibles en cualquier parte del mundo, pero eso no quiere decir que tengamos que cumplir todas las leyes. Solo hay que ajustarse a la normativa a) del país donde está registrada mi empresa, b) de los países donde vendo y c) de los países donde tengo actividad.

3. ¿Mi web cumple el RGPD?

Estos son los aspectos clave que debemos revisar para saber si nuestra página web cumple la normativa sobre protección de datos.

3.1. Pop-up de cookies configurable

Si usamos cookies, obligatoriamente lo primero que tiene que ver alguien cuando entra en nuestra página web es una ventana o aviso sobre las cookies: en este mensaje debemos facilitarle al usuario la opción de aceptarlas, rechazarlas o informarse más en detalle y configurar sus preferencias desglosadas.

Importante: El antiguo banner informativo «Esta página usa cookies y si sigues navegando aceptas que se instalen…» no es legal desde la entrada en vigor del RGPD. Actualmente, es necesario bloquear las cookies hasta haber obtenido el consentimiento explícito del usuario.

3.2. Política de privacidad y cookies visible y accesible

En la página web, ha de haber una política de privacidad y de cookies. A veces se publican juntas en un solo documento, a veces por separado. En todo caso, ambas deben estar bien visibles, normalmente en el pie de página, y se deben presentar de forma clara, posiblemente en apartados, explicando con un lenguaje transparente qué hacemos con los datos y qué cookies utilizamos, para qué y cuánto tiempo y de qué forma se almacenan.

3.3. Comercio electrónico: términos y condiciones

Solo si vendemos por Internet, es decir, si tenemos una tienda online, tendremos que publicar también nuestras condiciones de venta, es decir, el contrato en el que expliquemos los términos de la transacción: cuánto tiempo tardamos en mandar los productos, cuál es la política de devoluciones, etc.

3.4. Formulario: check para aceptar privacidad y registro de consentimientos

Si en algún lugar de la página web hay un formulario, por ejemplo, para darse de alta como usuario o para recibir una newsletter, es imprescindible añadir una casilla en el mismo formulario para que el usuario acepte de manera explícita el registro a cada una de las posibles acciones: registrarse, recibir la newsletter, recibir correos con ofertas, participar en encuestas, etc.

Toda esta información —quién no ha aceptado, quién sí y qué ha aceptado exactamente— tiene que quedar almacenada en un formato que podamos compartir si nos lo requiere la AEPD.

3.5. Textos legales traducidos a los idiomas de la web

Si ofrecemos nuestra web en varias lenguas, por ejemplo, español, inglés y francés, los textos legales (el aviso de cookies, la política de privacidad y de cookies, los términos y condiciones —si procede—, las casillas de consentimiento, etc.) también deberán estar disponibles en esas lenguas.

4. Planes RGPD de Nominalia

Para asegurarse de que una página web cumple el RGPD, existen muchas opciones: contratar a un experto o una agencia, utilizar plantillas online o implementar los cambios por cuenta propia, por ejemplo, con plugins como el de Iubenda o los recursos gratuitos que la propia AEPD ofrece en su página web.

En Escuela de Internet, encontrarás varios artículos sobre protección de datos en Internet que te pueden servir de guía para aplicar los cambios. Sin embargo, el reto no es solamente generar los textos legales, sino ajustarse a todos los países pertinentes y mantenerse al día de los cambios legislativos.

Por eso, nuestra recomendación es una solución global como los planes RGPD de Nominalia. Estos planes te ofrecen acceso a una herramienta de IA que:

• Redacta textos legales claros y personalizados para tu actividad, en los que se informa extensamente y se pide consentimiento al usuario.
• Actualiza la información legal de tu web automáticamente teniendo en cuenta cualquier novedad en las leyes de los países donde está presente tu negocio o entidad.
• Escanea a diario tu web para comprobar que los textos legales se ajustan a los cambios que vayas introduciendo en tu página.
• Ofrece un panel de control central desde el cual puedes acceder a todos los consentimientos, de modo que puedas presentarlos a la autoridad competente si te los solicitan.

Encontrarás aquí todos los detalles sobre los planes RGPD de Nominalia. ¿Tienes tu web o tu dominio en otro proveedor? Ningún problema: ponte en contacto y te explicamos cómo gestionarlo.