¿Que imagen crees proyecta tu web? Puede que pienses que es una web sería y confiable.
No te sulfures, puede que seas una persona super legal y confiable, pero tu web no lo será hasta que decidas iniciar el recorrido hacia la LOPD.
La LOPD, ¿un estorbo o un aliado?
Eso siempre dependerá del tipo de adecuación que contrates, si se trata de hacer el pepeleo, será un estorbo por el que has tenido que pagar.
Si te embarcas en un proceso de adecuación a conciencia, te sorprenderá descubrir todo el partido que puedes sacarle.
Porque invertir en la LOPD
Los cambios en la era de la información propiciaron la necesidad de regular los derechos de usuarios y consumidores en relación a nuevos medios de captura y tratamiento de la información.
Un blog o una web son espacios en donde se gestiona información personal, como la de usuarios, suscriptores y clientes y por esa razón, están sujetos a la LOPD.
Así es como surge la LOPD (Ley Orgánica de Protección de Datos) y la LSSI (Ley de la Sociedad de la Información y el comercio electrónico)
Con carácter general, los datos recogidos desde tu página web se identificarán en el fichero denominado «usuarios web» para los datos de visitantes y suscriptores de tu blog.
Tengo una web pequeña y no tengo empleados ¿Tengo que cumplir con la LOPD?
No importa el tamaño en lo relativo a la obligatoriedad, importa que gestiones información de carácter personal y hacerlo adecuadamente.
Nota importarte: No contrates nunca una empresa que te prometa una adecuación en 24 hs. Si crees que un trabajo serio puede resolverse en 24 hs, estarás tirando tu dinero.
1º paso: Cumplimentar la información del «fichero» y notificarlo a la AEPD
En el portal de la Agencia se te informa que la presentación de las solicitudes de inscripción de ficheros podrá realizarse indistintamente en soporte papel, informático o telemático, aunque en cualquiera de los casos, su cumplimentación debe realizarse a través del formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA).
Allí podrás realizar la inscripción inicial del fichero completando un formulario electrónico.
Tienes 3 formas de presentación:
- A través de Internet con certificado digital de firma electrónica
- A través de Internet sin firma o certificado digital.
- Mediante formulario en soporte papel con código de barras bidimensional PDF 417
Pasos para la cumplimentación del formulario
1. Indicar que tipo de acción quieres realizar
Lo primero que vas visualizar es una pantalla en donde te pregunta que tipo de acción quieres realizar: Alta, modificación o Supresión.
Si es una inscripción, deberás indicar lógicamente Alta.
2. Cumplimentar las diferentes secciones de la notificación hasta completar el formulario
Aquí debes completar todas las preguntas relativas a:
- Apartado 1. Responsable del fichero: Se indicará en este apartado «la persona física o jurídica responsable del fichero que decida sobre la finalidad, contenido y uso del fichero» si eres tu el responsable de la web y actúas como autónomo o persona física, deberás consignar todos tus datos, si es una empresa, los de la empresa.
- Apartado 2. Derechos de oposición, acceso, rectificación y cancelación: En ese caso, solo deberás completarlo en el caso de que la dirección dónde decidas atender a los derechos de oposición, acceso, rectificación y cancelación de tus usuarios sea diferente a la indicada en el apartado 1.
- Apartado 4. Encargado del tratamiento: Este apartado únicamente deberás completarlo cuando otra empresa o profesional realiza el tratamiento de datos por cuenta del responsable que implique una ubicación del fichero distinta a la indicada en el apartado 1. El caso de la gestión de nóminas por ejemplo cuando lo lleva una gestoría externa. En este punto debes recordar que para que ese tratamiento sea legal, debe estar regulado por un contrato que llamamos «Contrato de encargado de tratamiento» y que te explico detalladamente aquí.
- Apartado 5. Identificación y finalidad del fichero: Aquí deberás elegir el nombre que identifique el fichero y una descripción detallada de la finalidad y usos previstos. Podrás seleccionar la tipificación que se corresponda con dicha descripción disponible en la lista del formulario.
- Apartado 6. Origen y procedencia de los datos, por ejemplo: El propio interesado, fuentes accesibles al público, Registros públicos, etc. Luego debes seleccionar los colectivos o categorías de interesados
- Apartado 7. Tipos de datos, estructura y organización del fichero: Aquí deberás especificar si se trata de datos especialmente protegidos como origen racial, salud o vida sexual. También deberás indicar el sistema en procesas y almacenas la información que podrían ser automatizados, no automatizados (manual) o parcialmente automatizados (mixto).
- Apartado 8. Medidas de seguridad: se indicará el nivel de medidas de seguridad exigible al fichero. Estas medidas se clasifican en tres niveles: básico, medio y alto.
- Apartado 9. Cesión o comunicación de datos: este apartado solo debes cumplimentarlo en el caso de que se prevea realizar cesiones o comunicaciones de datos. No se considerará cesión de datos la prestación de un servicio al responsable del fichero por parte del encargado del tratamiento.
- Apartado 10. Transferencias internacionales: Este apartado únicamente ha de cumplimentarse en el caso de que se realice o esté previsto realizar un tratamiento de datos fuera del territorio del Espacio Económico Europeo. En caso afirmativo, deberás pedir autorización a la Agencia Española de Protección de datos y declararlo en este apartado.
3. Cumplimentar la Hoja de solicitud
Una vez cumplimentados todos los apartados anteriores correspondientes a la notificación, deberás completar la Hoja de solicitud de forma correcta, para ello, deberás enviar la notificación mediante el formulario electrónico pulsando el botón «Enviar a través de Internet» que se encuentra en la Hoja de solicitud.
El formulario te indicará que se está conectando con el servidor de la AEPD y, acto seguido, el sistema te enviará la Hoja de solicitud (en formato PDF) que confirma que la notificación ha sido enviada correctamente. En las presentaciones a través de Internet, deberás recibir el acuse de recibo de la AEPD del envío realizado.
Dicha Hoja de solicitud, debes imprimirla y firmarla y es la que deberás enviar a la AEPD.
En el caso de presentación a través de Internet con certificado de firma electrónica no tienes que imprimir, firmar y enviar. Se envía telemáticamente.
En el caso de presentación en formulario en papel, se presentará la Hoja de solicitud con el código correctamente impreso, así como las dos páginas con el contenido de la notificación en las que deberá figurar el código de envío generado por el formulario electrónico.
2º paso: Redacción de textos legales en tu web o blog
La Redacción de clausulas de información destinadas a informar al usuario sobre los términos y condiciones de tu web son un requisito indispensable desde el momento en que utilizas cualquier sistema de captura de información personal, como un formulario de contacto o suscripción.
Debes redactar e incluir en tu web:
- Un aviso Legal
- Una Política de Privacidad
- Una Política de cookies
Si utilizas autorresponders, además debes incluir cláusulas informativas y permitir el derecho del usuario a desistir de nuevas comunicaciones comerciales.
3º paso: protocolo de gestión de datos y comunicaciones comerciales
- Deberías generar un sistema para establecer comunicaciones comerciales con clientes y con usuarios de internet para adecuarlas a la normativa vigente.
- Tendrás que tener un documento de seguridad con medidas de técnicas y organizativas protocolos de actuación para recopilar y gestionar datos personales en campañas de marketing y prospección comercial, en redes sociales, etc.
- Sistemas de validación de usuarios: Por último, deberás crear en todos los sistemas de captura de información, un mecanismo doble opt-in acredite la identidad del usuario y el deber de información (art Nº 5) y redacción de cláusula de solicitud de consentimiento para envío de información comercial o publicidad.
Estos son los requisitos básicos para cualquier blog o web que recoja información de carácter personal.
Si crees que puedes hacerlo tu mismo, te invito a que leas también este otro post.
¿Empezamos?
Imagen: Pink Sherbet Photography
22 comentarios
Excelente como siempre!
Añadiría que habría que hacer un Contrato de Tratamiento por Terceros Autorizados (asesoría, informático, etc…)
También un documento de Designación del Responsable de Seguridad.
Felicidades por el artículo.
Gracias por el aporte y el comentario. Este post es parte de una serie de artículos sobre adecuación de una web a la LOPD, en donde he separado los diferentes elementos a tener en cuenta, incluido el que señalas, de hecho son concretamente:
https://marinabrocca.com/blog/adecuacion-legal-web/lssice-lopd-web/
https://marinabrocca.com/blog/adecuacion-legal-web/web-internet-lopd-proteccion-datos/
https://marinabrocca.com/blog/adecuacion-legal-web/diferenciar-web-lssi-ce/
https://marinabrocca.com/blog/adecuacion-legal-web/lssi-como-hacer-que-mi-web-cumpla-las-normas/
Revisaré los enlaces no obstante por si no los hubiera enlazado correctamente.
Un abrazo y gracias por visitar mi casa digital.
Hola Marina,
Un articulo genial que me ayudara a adecuar la web de la empresa donde trabajo, pero me surge una duda que no queda muy clara en tu articulo.
¿En blogs personales debemos de realizar los mismos pasos?
Yo tengo un blog y no me gustaría estar incumpliendo normativas y que esto pueda acarrearme problemas.
Gracias por todo
Hola Javier,en principio, debes saber que hay dos regulaciones en juego: la LOPD y la LSSI:
Un blog personal no comercial no está sujeto a la LSSI, pero siempre que en tu blog no vendas nada, ni tengas publicidad tipo adwords. Otra cosa es la LOPD, desde el momento en que capturas información personal, a través de un formulario de suscripción, comentarios o de contacto, ya estás sujeto a esa regulación a toda su maquinaria sancionadora.
La única manera de que no te afecte es excluyendo cualquier sistema de captura de datos personales, algo poco probable en un blog.
Espero haberte aclarado tus dudas.
Hola Marina,
Gracias por la aclaración, tendré que revisar a ver que es lo que tengo que poner, ya en su día tuve que poner el aviso de Cookies y ahora la LOPD.
En fin, abra que cumplir.
Una aclaración mas, no basta con poner un aviso de cookies para cumplir con el reglamento sobre las cookies, en este enlace te explico lo que debes hacer para cumplir con ese requisito:
https://marinabrocca.com/blog/proteccion-de-datos/es-posible-cumplir-con-la-ley-de-cookies/
Tengo una duda, realizo acciones de telemarketing, donde pido a la persona su email y su nombre para poder enviarle información comercial, ya sea una presentación, etc…, lógicamente me ha autorizado verbalmente, ¿es esto spam? ¿estoy infringiendo la ley?
Hola Javier, si es el propio titular de la información quien te facilita sus datos de manera voluntaria tras informarle con que finalidad vas a utilizar sus datos, no estamos hablando de Spam, ya que esa persona de ha prestado su consentimiento para que le mandes información comercial, pero es muy importante que en cada nueva comunicación, le recuerdes en una coletilla legal informativa,como has obtenido sus datos, quien es el responsable de gestionarlo y como pueden desistir de nuevas comunicaciones comerciales si así lo desean.
Hola Marina. Gracias por tu ayuda, con estos artículos para la gente que no tenemos ni idea nos ayuda mucho.
Estoy intentando darme de alta en la aepd con el fichero de datos. Tengo un blog con sistema de comentarios, no tengo registro de usuarior.
Estoy cubriendo los datos del fichero, pero hasta ahora no me a pedido meter la direccion web de mi blog, ¿tu sabes donde la tengo que poner?
un saludo
Hola Jose, gracias pro tu comentario, no necesitas incluir la dirección de tu web en ninguna parte, no hay campo para declarar el dominio.
Un abrazo y gracias por pasarte por aquí.
Hola Marina, a la hora de pedir conformidad a un usuario a la cesión de datos a través de un formulario web, es obligatorio capturar su firma, o con hacer check en la casilla correspondiente?
Gracias
Hola Patricia, gracias pro pasarte por aquí. Con un check box específico a tal efecto sería suficiente.
Un fuerte abrazo!
Buenas Marina,
Estoy dudando en poner en una página web personal que informará sobre quien soy yo y lo que soy a nivel académico (como un cv), a nivel informativo y dudaba en poner o no un formulario para pedir el nombre, correo, edad de la persona y comentario que se me mandaría por mail y al mismo tiempo estaba pensando en guardarlo en una bbdd. ¿Sería necesario aplicar rgpd / lopd?
¿Que debería hacer si finalmente pongo un formulario?
¿Me lo podrías decir para que lo pueda hacer yo sin ningun coste o coste significativo?
Gracias.
Saludos,
Oriol
Hola Oriol, perdona la demora, se había colado tu comentario.
Si recabas datos personales, ya sabes que debes adecuar tu blog al RGPD. Una alternativa eficaz y económica es la herramienta de autoadecuación guiada de LEXblogger, que te permite contar con una adecuación completa, tanto a nivel RGPD como LSSI de forma autónoma, ahorrando costes de honorarios profesionales. Se trata de una aplicación online que mediante ventanas te irá pidiendo información sobre tu actividad y web y al final del proceso te genera toda la documentación que necesitas implementar y cómo implementarla. Te dejo el enlace: https://www.lexblogger.com/
Un fuerte abrazo y gracias por comentar
Hola Marina, un artículo muy interesante y completo. Además muy fácil de entender.
A mí solo se me ocurre una duda, reflexionando sobre todo esto de los datos…Qué pasa con las fanpages? ahí no hay LOPD? Son paginas en las que se vende todo tipo de artículos y servicios.
Necesito tener una LOPD en mi fanpage?
Gracias.
Un saludo
Hola Susana,
Una fanpage, a efectos legales, es igual que una web y de hecho , el administrador de una página de fans en Facebook es responsable conjuntamente con Facebook del tratamiento de los datos de los visitantes de la página, según el RGPD.
Así lo ha declarado el Tribunal de Justicia de la Unión Europea al resolver una cuestión prejudicial planteada por el Tribunal supremo de lo Contencioso Administrativo de Alemania, en relación con la interpretación que debía darse a los arts. 2d), 4 y 28 de la Directiva 95/46/CE.
Este declara que en lo que se refiere al tratamiento de datos personales y libre circulación de estos datos, debe interpretarse que el concepto de responsable del tratamiento comprende al administrador de una página alojada en una red social y por tanto, se derivan las mismas obligaciones, a saber, el deber de informar, de recabar el consentimiento, etc.
Un fuerte abrazo
Hola Marina! Tengo una duda si deseo crear una fanpage para vender manualidades y cosas echas por mi.. Sería ilegal??
p/d soy Argentina
Gracias!
Hola Mariana, será legal siempre que informes correctamente, tengas políticas adecuadas, requieras el consentimiento y sigas todos los pasos indicados en el post, si quieres una solución sencilla y económica para adecuar legalmente tu blog, no olvides pasarte por LEXblogger, la herramienta de adecuación legal para páginas webs.
Un abrazo
Muy interesante, una pregunta, ¿esto sigue en pie a hoy en día o han habido algunos cambios?
Mil gracias.