6 puntos clave de la normativa legal sobre sitios web

¿Te perdiste el último webinar de Nominalia sobre la información legal que debe integrar tu página web para cumplir la legislación? Aquí te resumimos los puntos más destacados.

El pasado 24 de febrero de 2021, en Escuela de Internet tuvimos ocasión de contar con Gina Andrés y Jaume Feliu, consultores de protección de datos en Pyme Legal —partner de confianza de Nominalia—, que nos explicaron cómo afecta a una página web o tienda online la normativa sobre protección de datos y qué hay que hacer para poner un sitio web al día de lo que dicta la ley.

A continuación, compartimos con vosotros los aspectos principales que se trataron en este webinar sobre normativa de sitios web y tiendas online.

1. ¿Qué obligaciones tienen las páginas web?

Antes que nada, hay que entender lo que es la protección de datos: un derecho fundamental que nace de la Constitución y que obliga a proteger la intimidad y la privacidad de las personas físicas contra la recopilación y el uso indiscriminados de sus datos de carácter personal.

Las sanciones por atentar contra este derecho fundamental son altas; por tanto, hay que conocer la normativa al respecto. En concreto, en el marco de la protección de datos se aplican tres normas:

1. Reglamento General de Protección de Datos (RGPD). Este reglamento europeo es obligatorio para todas las empresas que tratan datos personales y constituye la base de toda la normativa en este ámbito.
2. Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Ley que transpone el reglamento europeo en España. Si bien nunca contradice lo dispuesto en el RGPD —la norma básica—, sí desarrolla algunos puntos que el reglamento deja a criterio de cada Estado miembro. Además, estipula normas específicas por sector (sanidad, educación, laboral, etc.).
3. Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE). Ley específica en materia de privacidad de los sitios web. No obstante, en estos momentos la Eurocámara está preparando un nuevo reglamento (e-Privacy) que obligará a las empresas a adaptar todas sus comunicaciones, sobre todo en lo que respecta a la seguridad y la conservación o borrado de comunicaciones electrónicas. Otro punto destacado que tratará es el de las cookies.

2. Ámbito de aplicación: ¿qué se considera un dato personal?

El ámbito objetivo de la normativa, pues, es todo lo tocante a los datos personales. Pero ¿qué son los datos personales?

¿Cómo identificar un dato de carácter personal?

Se entiende por dato de carácter personal cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Ejs.: imagen de una cámara de videovigilancia, un currículum, una radiografía, una fotocopia del DNI…

Todo esto, y no solo la información referente a los gustos, las creencias religiosas u otros detalles íntimos de una persona, es susceptible de protección. Con todo, el reglamento distingue entre:

• Datos básicos: nombre y apellidos, teléfono, correo electrónico, fotografía, dirección, datos bancarios.
• Datos sensibles: afiliación política, filosófica, religiosa u sindical; salud, vida u orientación sexual; genéticos o biométricos; origen étnico o racial.
• Datos de especial consideración: datos de menores y colectivos vulnerables, rendimiento laboral, situación económica, preferencias o intereses especiales, geolocalización, etc.

Datos que quedan excluidos

No se consideran susceptibles de protección los datos relativos a los siguientes ámbitos:

• Identificación de empresas
• Personas de contacto
• Empresarios individuales
• Personas fallecidas
• Ámbito doméstico

3. Principios: ¿cómo y cuándo se pueden tratar datos personales?

Para saber cuándo y cómo se pueden tratar los datos personales (dentro y fuera de la página web), hemos de tener muy claras las bases jurídicas o principios de la protección de datos. Son seis:

• Principio de licitud. Para que el tratamiento se considere lícito, leal y transparente, en la cláusula que le demos al interesado hay que indicar de manera clara: qué haremos con su información, la identidad del responsable encargado del tratamiento, cómo legitimamos el uso que hacemos de los datos y cómo puede hacer valer sus derechos, entre otros asuntos. Además, esta información debe ser fácilmente accesible.

Una de las bases jurídicas más usadas para legitimar el tratamiento de los datos es el consentimiento del interesado. Sin embargo, el consentimiento ha de ser:

• Libre e informado.
• Inequívoco, es decir, prestado positivamente: no vale el consentimiento tácito. Tampoco son legales las casillas premarcadas.
•  
• Específico para cada finalidad. Además, el interesado ha de poder autorizar de manera independiente cada finalidad.
• Principio de limitación de los fines. En la información que se facilita al interesado, debe constar la finalidad para la que recogemos sus datos.
• Principio de minimización de datos. El tratamiento debe limitarse a lo necesario para los fines expuestos.
• Principio de exactitud. Los datos deben ser veraces y actualizados.
• Principio de limitación del plazo de conservación. La ley no permite guardar los datos más tiempo del necesario para los fines establecidos. Además, en las cláusulas deben señalarse los plazos previstos.
• Principio de disponibilidad, integridad y confidencialidad. Esta triple base jurídica representa el pilar de la seguridad de la información, ya que garantiza que no se haga un uso no autorizado o ilícito de los datos y previene que se pierdan o sean alterados.

¿Qué información tenemos que proporcionar en las cláusulas sobre protección de datos?

La información básica que hay que incluir en las cláusulas de información incluye:

• Identidad y datos de contacto del responsable del tratamiento, del delegado de protección de datos y del representante (si lo hay).
• Fines del tratamiento.
• Legitimación (base jurídica para hacer el tratamiento).
• Destinatarios de los datos y posibles cesiones a terceros.
• Derechos que asisten al interesado:
  • Revocación del consentimiento sin que desvirtúe el previamente otorgado
  • Acceso, rectificación, supresión y portabilidad de datos
  • Limitación u oposición al tratamiento
  • Presentar una reclamación ante la autoridad de control

¿Cómo hay que proporcionar esta información?

Se propone presentar toda esta información en dos capas:

• ª capa: Información básica en formato resumido. Se ofrece en el momento en que se recopilan los datos y en el mismo formato. Ej.: breve nota en el mismo contrato que firma el cliente.
• ª capa: Información detallada en un medio más adecuado para la comprensión. Ej.: página web con la política de privacidad.

No obstante, no es obligatorio presentar la información de esta manera. Siempre que sea fácilmente accesible y clara, se puede facilitar como se prefiera.

4. ¿Qué avisos legales debe contener una página web?

Toda web que tenga algún tipo de actividad económica (ej.: una tienda online, una página donde se ponen anuncios que redundan en beneficio económico, etc.) debe cumplir con los siguientes apartados mínimos:

• Aviso legal. El objetivo fundamental es identificar al responsable de la web e indicar los términos y condiciones de uso, así como las garantías y responsabilidades del responsable, las condiciones particulares de los hiperenlaces, los titulares de la propiedad intelectual e industrial de la página, y la legislación aplicable.
• Política de privacidad. Si recogemos datos personales, es necesario informar al usuario de las condiciones de manera clara y concisa.
• Política de cookies. Este apartado debe estar bien visible. En él, se debe señalar la finalidad de las cookies, quién las instala y cómo pueden desinstalarse. Además, se ha de dar opción a rechazarlas o configurarlas.
• Condiciones generales de contratación (ecommerce). Se trata de las condiciones que el vendedor pone al comprador: no son específicas para cada comprador, sino que son generales (lo que se llama «contrato de adhesión»). Estas condiciones tienen sus propias características mínimas en cuanto a la redacción: si las cláusulas no están bien redactadas o son oscuras, siempre se fallará a favor del comprador. Para aceptar las condiciones, el comprador ha de marcar necesariamente una casilla de verificación o aceptación.
• Cláusula para comunicaciones comerciales (newsletter).

¿Cuándo debe una web cumplir con la normativas obre protección de datos?

Cuanto tenga o use, entre otros:

• Formulario de contacto web
• Sección de envío de currículums
• Términos y condiciones de uso (app)
• Formulario para chat
• Formulario para cita previa
• Formulario para suscripción
• Área privada para usuarios registrados
• Productos, servicios o infoproductos a la venta
• Promociones en las redes sociales
• Campañas de email marketing
• Google Analytics o similar

5. Campañas de marketing: ¿hasta dónde podemos llegar?

Para enviar un email comercial o boletín de noticias, se debe contar primero con consentimiento expreso. Si se envían comunicaciones sin haberse solicitado, se puede denunciar. Para conseguir el consentimiento, hay que seguir la técnica del doble opt-in: la persona usuaria deberá marcar una casilla y, al recibir el email de confirmación, clicar el enlace.

No obstante, se permite el envío de comunicaciones comerciales a los usuarios con los que exista una relación contractual previa, entendida esta como cualquier adquisición de producto o servicio en la que se haya emitido una factura. En ese caso, el prestador podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

En todo caso, hay que informar al usuario de los aspectos básicos del tratamiento que se hace de sus datos y habilitar un mecanismo para que pueda revocar el consentimiento, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que se le dirija.

Además, si se utilizan programas de segmentación o se comparten datos con otros programas, habrá que comprobar que estas herramientas cumplen con el RGPD.

Por otro lado, hay que implementar medidas de seguridad adecuadas para proteger las bases de datos de los usuarios y clientes.

Por último, hay que poder acreditar todas estas medidas en cualquier momento (accountability).

6. Obligaciones de los responsables de tratamiento: ¿qué debe hacer el responsable de una web?

• Garantizar los principios del derecho de la protección de datos.
• Informar debidamente a los usuarios de todos los aspectos básicos.
• Disponer de un registro de actividades de tratamiento (RAT): es un formulario donde se detallan los tipos de datos (de proveedores, trabajadores, clientes y usuarios) que se tratan en nuestra empresa. Estos registros deben realizarse para cada uno de los tratamientos que se lleven a cabo. Los datos tienen que estar siempre actualizados:
  • Responsable del tratamiento
  • Finalidad
  • Categorías de interesados y datos tratados
  • Transferencias internacionales
  • Plazos de supresión
  • Medidas técnicas y organizativas de seguridad
• Realizar un análisis de riesgos o una evaluación de impacto (si procede).
• Garantizar los derechos de los afectados.
• Designar un delegado de protección de datos (si procede).
• Regular las transferencias internacionales de datos (si procede).
• Regular la relación con los encargados del tratamiento (qué va a hacer el proveedor de hosting con los datos almacenados).
• Establecer un protocolo para los trabajadores.
• Aplicar medidas técnicas y organizativas.
• Establecer un protocolo para las brechas de seguridad.

Déjalo en manos de profesionales: Nominalia se hace cargo

La mayoría de los incidentes de seguridad en materia de protección de datos están causados por descuidos o pereza en la aplicación de medidas o bien por desconocimiento de la normativa. Sin embargo, esto no es excusa y las sanciones que se aplican por incumplimientos en este terreno son muy elevadas:

• Graves: hasta 10 millones de euros o el 2 % del volumen anual de negocio del año anterior
  • • No aplicar medidas técnicas por defecto
    • No disponer de registro de actividades de tratamiento
    • No realizar la evaluación de impacto
• Muy graves: hasta 20 millones de euros o el 4 % del volumen anual de negocio del año anterior
  • No cumplir los principios del RGPD
  • No cumplir los requisitos de transferencia internacional de datos

Por eso, para la mayoría de pymes y autónomos lo más simple y eficaz es consultar a un especialista dedicado a este ámbito. 

Nominalia te ayuda te da cobertura en materia de protección de datos

Nominalia ofrece a sus clientes un servicio de elaboración de textos legales específicos para cada web o tienda online. La contratación del servicio se puede hacer en dos modalidades, estando seguros de que con cualquiera de las dos conseguiremos que nuestra web cumpla con la normativa RGPD/LSSICE sobre protección de datos:

– Pack de autogestión (115 € + IVA): El cliente recibe los textos legales personalizados con su empresa y todas las instrucciones necesarias para implementar estos textos en su web.
– Pack con asesoramiento legal (250 € + IVA): El cliente tiene contacto directo con los asesores legales y recibe también asesoramiento técnico para agilizar la actualización de la web.

Este servicio solo se paga una vez: si pasado un año quieres continuar, puedes contratar el Pack de Mantenimiento anual por 50 €. Así tendrás la tranquilidad de saber que te avisaremos si tienes que actualizar los avisos legales de tu web, sea por un cambio de normativa sea por cualquier otro motivo. Infórmate sin compromiso aquí.