Si, hay muchas sanciones a páginas webs de empresas pequeñas y muy normales.
No, no sólo hay sanciones a empresas gigantes como Google o Faceboock.
La única diferencia es que las primeras no son noticias y los medios no se hacen eco, eso no significa que no existan.
Tu blog o web puede ser sancionado
y no, no es un mito ni el cuento del coco, es un hecho.
Y estoy convencida de más de una vez has pensado cosas así:
🤔¿Quién se ha fijar en mi web si no hago nada raro?
🤔¿Quién va a denunciar a una web normalita como la mía?
🤔¿Acaso pueden sancionar económicamente a una web?
Las sanciones a webs pequeñas que no salen en los medios
Puede que te sorprenda saber que los usuarios, SI revisan el nivel de adecuación de las páginas webs y si denuncian:
Y otra, para los que creen que nadie denuncia los boletines de empresas pequeñas:
RESOLUCIÓN: R/00406/2019
“Desde hace mucho tiempo recibo un boletín de noticias de ***URL.1 al que nunca me he suscrito. En varias ocasiones he intentado darme de baja, tanto a través
del enlace que hay en los mensajes (que me dirige a un formulario de contacto en su web, que he rellenado y enviando mostrándoseme un mensaje de confirmación de
envío de la comunicación) como enviando directamente un correo electrónico. Nunca he recibido respuesta, y sigo recibiendo el boletín.»
Aquí tienes el expediente completo
Si en vez de ver casos de multas, quieres ver la solución: Mira este post con una Guía para cumplir el RGPD.
Si quieres ver las multas, sigue leyendo…
Índice de contenidos
Te voy a mostrar ejemplos de multas reales a webs normalitas, de esas que pensamos que nadie va a sancionar, como la siguiente:
Lo cierto es que has invertido una cantidad considerable de tiempo y recursos en crear una comunidad, en generar contenidos, en optimizarlos, en posicionarlos…pero la legalidad no es una prioridad para ti y sin embargo, puede acabar con todo lo anterior.
Para hablar sin tontainas ¿Cuánto dinero has invertido en tu web?
- Diseño web
- Trafficker
- Posicionamiento
- Copy
- Social media
- Diseño de logotipo/identidad corporativa
- Anuncios
Etc.
¿Cuánto has invertido en asegurarte en que tu web no acabe en sanción?
¿Crees que es imposible recibir sanciones por tener un blog?
¿Sanciones en un blog?
¡Venga ya! Uno de los principales argumentos en los que escudan algunos profesionales para no realizar ningún acoplamiento legal en sus blogs es que » total no pasa nada» «no conozco a nadie que hayan sancionado», como si el único motivo para hacer las cosas bien es evitar una sanción..¿ya somos mayorcitos no?
Lo cierto es que pasado el pánico inicial en mayo de 2018, el interés por el el RGPD pasó a estar en modo electroencefalograma plano, tal cómo muestran las búsquedas en Google.
Nos interesamos por el RGPD durante 3 meses, luego, como si nunca hubiera existido.
Al parecer, las únicas sanciones que preocupan a los bloggers y quizás también a ti, son las que vienen de Google y sus penalizaciones de posicionamiento ¿Me equivoco?
Quizás tu también te hayas refugiado en ese argumento hasta ahora, es por esto que te he preparado este post, para demostrarte que no es gratis el anarquismo bloggero y presentarte unos cuantos ejemplos de sanciones tan reales como dolorosas.
Como expliqué en esta ponencia en WordCamp España: «Puede que nos hayamos olvidado del RGPD pero el RGPD no se ha olvidado de nosotros»
Legalidad y sanciones que no te puedes permitir en tu blog
Cuándo inicias un blog, hay muchas cosas que te quitan el sueño, las sanciones que puede recibir tu blog por no cumplir la legalidad no es una de ellas.
Esta es la verdad, al parecer, los bloggers no tenemos ninguna obligación, estamos al margen de cualquier responsabilidad a pesar de que nos pasamos el día averiguando como multiplicar nuestra lista de suscriptores (que son personas por cierto) que no paramos de crear nuevos sistemas de captación de leads (también son personas) y que nos estrujamos el cerebro para monetizar nuestro blog, que es al fin de cuentas, el objetivo del 99% de los bloggers.
Todo el mundo se empeña en ayudarte a cumplir esos objetivos con cientos de contenidos aleccionadores pero nadie te enseña a hacerlo dentro de la legalidad y nadie te advierte de las consecuencias de incumplir con ese marco legal.
¿Cómo puede mi web recibir una sanción por incumplimiento RGPD?
Fácil, un usuario entra un web, identifica que no cumple, hace unas capturas y las envía a la sede electrónica de denuncias telemáticas de la AEPD.
Y luego la AEPD investiga y publica sus resoluciones, que són públicas y puedes consultar en este enlace.
No actúes por miedo a las sanciones, actúa por responsabilidad
No pretendo meterte miedo en el cuerpo, nada más lejos de mi intención, lo que pretendo es ayudarte a analizar algunos errores que pueden acabar en un expediente sancionador.
También se trata de ayudarte a tomar conciencia de la responsabilidad que supone gestionar datos personales de otros.
He seleccionado 5 errores principales que constituyen los motivos más frecuentes de sanción por parte de la Agencia Española de Protección de Datos.
En mi experiencia, la mayoría de estos errores se cometen por puro desconocimiento de las obligaciones que tenemos los responsables de un blog y las leyes que regulan las relaciones comerciales en el mundo online, pero ya sabes,» Ignorantia juris non excusat o ignorantia legis neminem excusat» el desconocimiento o ignorancia de la ley no sirve de excusa y no exime de responsabilidad (a menos que seas Infanta)
Las sanciones más frecuentes a páginas webs «normalitas»
Te voy a presentar algunos ejemplos de las infracciones mas comunes y de las sanciones mas frecuentes para que puedas autoevaluarte y salir de la zona de riesgo.
He preparado algunas preguntas que te ayudarán a descubrir tu nivel de exposición y las posibilidades que tienes que recibir sanciones en tu blog.
Son solo algunos aspectos en donde más denuncias se reciben en la Agencia Española de Protección de datos, así que toma nota: puede que ahora mismo estés cometiendo alguno de estos errores.
1) No disponer de permiso para enviar publicidad o información de tus servicios a sus clientes y personas de contacto
Este es un tema recurrente de sanciones dado que el artículo 21 de la LSSI prohíbe las comunicaciones por canales electrónicos que no hayan sido previamente solicitadas o expresamente autorizadas. No obstante, siempre aparecen excusas y trucos para enviar publicidad indiscriminadamente y sin contar con el permiso de los destinatarios.
Por otra parte, el RGPD
Estás expuesto a recibir sanciones si:
- Utilizas bases de datos compradas
- Publicas imágenes de menores en tu fanpage: Aquí puedes ver una multa a una escuela de danza por publicar en su facebook fotos de alumnas menores
- Utilizas los sistemas de mensajería privados de las redes sociales para promocionarte sin consentimiento de los destinatarios.
- Si utilizas WhatsApp como canal comercial (ver post).
Los expedientes sancionadores por el envío de comunicaciones comerciales no consentidas no son pocos. La página de la AEPD está plagada de ellos.
Algunos ejemplos rotundos para reflexionar:
- 3000€ de sanción a una empresa que remitió una comunicación comercial por medios electrónicos sin la autorización previa y expresa del destinatario y sin acreditar la existencia de una relación comercial previa de servicios similares a los ofrecidos en los SMS.
- Un ejemplo de sanción de 10.000€ de sanción una web que vendía bases de datos para prospección (Por si tienes la pésima idea de comprar bases de datos)
- Un ejemplo de a multa de 800 € de un infractor del artículo 21., es decir, envío de comunicaciones por email sin base legal.
- Tienes otro ejemplo de un expediente sancionador por una infracción del artículo 21 de la LSSI de 2000€ por enviar publicitad por SMS sin acreditar consentimiento.
2) No disponer de aviso legal, política de privacidad o política de cookies en tu web
Desde el momento en que tienes un blog que persigue una finalidad comercial y que captura información personal, debes introducir toda la información exigida por LSSI, RGPD y LOPDGDD en tu blog que se expresan en:
- Aviso legal
- Política de privacidad
- Política de cookies
- Faldón/ pop up de cookies
- Primeras capas informativas formularios de suscripción, comentarios y contacto.
- Cláusulas informativas RGPD en correo y boletines
y aquí otro ejemplo de cómo una web «normalita» puede recibir un expediente sancionador por incumplimiento de de la política de privacidad y respecto de su política de cookies,
Aquí puedes ver el expediente completo
y seguro que también pensaban que nadie iba a denunciarlos, pero lo cierto, es que un usuario lo hizo y mandó sendas capturas de pantalla a la AEPD que demostraban su ilegalidad.
Si además tienes un e-commerce, necesitarás disponer de tus condiciones de contratación, que empasten a la perfección con el tipo de producto o servicio que piensas vender.
Muchos blogs actualmente generan ingresos mediante la venta de infoproductos o un esquema de afiliados sin considerar las exigencias legales que supone este tipo de venta y el riesgo al que se expone emitiéndolas.
Tener un blog exige la necesaria presencia de los elementos legales que aportan credibilidad y confianza a los usuarios.
Y con mucha mas razón cuando se exigen datos de pago.
Antes de requerir información de pago, necesitas introducir un chek box de aceptación del usuario con tus términos de contratación .
En cada sistema de captura, debes poder acreditar la existencia de cláusula informativa adecuada para entender válido el consentimiento del usuario. Esta obligación de informar al afectado en el momento de la recogida de datos, es la única manera de garantizar el derecho del mismo a tener una apropiada información y a consentir o no el tratamiento de su información personal.
También es obligatorio requerir el consentimiento del usuario con tus condiciones antes de finalizar la compra, si no lo añades, se considerará venta nula si alguien te denuncia y tendrás muchas papeletas para toparte con una sanción.
Te expones a sanciones si tienes una web o un blog y no pones a disposición del usuario las condiciones generales antes de iniciar la contratación, o no confirmarle la recepción de la aceptación del contrato una vez realizado, salvo que se haya pactado lo contrario.
También lo serás si incumples con tu obligación de informar sobre: nombre o denominación social del titular de la web, datos de contacto, actividad, dirección de correo electrónico, derechos de usuario, etc. tal como te explico en este post.
Aquí no son pocas las infracciones correspondiente al deber de informar.
Si crees que nadie denuncia y que nadie repara en las cláusulas informativas de una web Aquí un ejemplo de un infractor que obtuvo una sanción de 10.000€ por no cumplir con la obligación de informar sobre la finalidad y destinatarios en su web.
Tampoco puedes olvidarte de las cookies
Serás infractor de la LSSI también si no informas adecuadamente de las cookies y si no dispones de procedimientos de rechazo en el caso de utilizar cookies o elementos similares que recojan y almacenen datos.
Hay varios casos de webs sancionadas por usar Google Analytics, Google Maps, Youtube, WordPress y Zopim, entre otros, instalando cookies de estos servicios sin cumplir la Ley de Cookies, es decir, no estaban advertidas en ningún caso. Así que ojo al loro si estás utilizando estas cookies y no las estás informado adecuadamente.
Aquí tienes un ejemplo claro de sanción por carecer de política de cookies y aviso de advertencia:
Ejemplo de una sanción de 3.000 euros por la infracción del art. 22.2 sobre cookies de la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico.
3) ¿Has firmado contratos de encargo de tratamiento con terceros?
Si compartes información de datos personales a gestorías, asesorías jurídicas, empresas de mensajería, mantenimiento informático, empresas de hosting, etc. debes tener firmados con dichas organizaciones contratos para el encargado de tratamiento que cumplan lo exigido por el Art. 12 LOPD.
La transmisión de datos a un encargado del tratamiento sin cumplir los requisitos establecidos en el art. 12 de la LOPD es un problema muy serio :
«El incumplimiento de la obligación de retener los datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la SI, prevista en el artículo 12»
Recuerda que los datos siempre pertenecen al titular y si tienes colaboradores con acceso a esos datos , debes asegurarte que ninguno hago un uso inadecuado de esos datos, para eso existen justamente los contratos de encargo de tratamiento.
Cuando se tratan datos personales por encargo, ya sea como empleado o como profesional independiente, una vez terminada la relación laboral o mercantil se debe cesar por completo en el uso de dichos datos, de lo contrario, puedes exponerte a una sanción.
Como ejemplo del riesgo que supone disponer libremente de la información de otros, tenemos el Procedimiento Nº PS/00371/2013 el denunciante declaró haber recibido unos mensajes telefónicos no solicitados en los que una doctora le comunicaba haber cambiado de clínica. En este caso, los datos habían sido facilitados a la clínica, no a la doctora y esta no tenía autorización para ponerse en contacto con los pacientes. Lo mismo puede ocurrirte en un blog si algún colaborador contacta a tus suscriptores o clientes con una finalidad diferente, así que mucho cuidado con las colaboraciones.
Otro: sanción de 12.000 a una empresa de servicios de dermatología por utilizar datos de pacientes de una clínica a la que prestaba servicios para ofrecer directamente sus servicios.
4) No recoger consentimiento en tus formularios
Si estás cediendo datos de tus clientes porque vendes o compras bases de datos, si realizas campañas de venta cruzada, contratas a una empresa de recobros o cualquier otra acción que implique la comunicación de datos personales a un tercero, tendrás madera de infractor a menos que:
- Realices esta cesión para fines directamente relacionados para los cuales fueron recabados.
- Cuentes siempre con el consentimiento previo del interesado, que puede revocar dicho consentimiento en cualquier momento.
Además debes saber que consentimiento será nulo si no se informa al mismo sobre la finalidad a la que van a ser destinados.
Las consecuencias de ceder datos personales a un tercero sin informar y requerir el consentimiento del titular está calificado como una infracción grave (muy grave si se trata de datos personales sensibles como, por ejemplo, datos de salud).
Otro ejemplo de sanción:
5) No cancelar la información personal es requerida
El derecho de cancelación es uno de los derechos mas significativos del RGPD en lo relativo a la autodeterminación informativa.
Les da el control a los ciudadanos para defender su privacidad del uso o abuso que se hace de sus datos personales, y en particular, el derecho a que éstos se supriman cuando resulten inadecuados o excesivos.
No permitir a las personas relacionadas con tu negocio el ejercicio de este derecho te convierte automáticamente en un infractor.
Cuidado con las listas de suscriptores y no respetar el deseo de los usuarios darse de baja.
Debe ser tan fácil entrar como salir de una lista.
Cuando un usuario manifiesta el deseo de no querer seguir perteneciendo a tu lista, tienes la obligación de respetar ese derecho y facilitar la baja automática.
El no respetar ese derecho, te expone a sanciones de 15.000€, como le ocurrió a e Dreams por seguir enviando sus NewsLetters a una persona que había decidido darse de baja.
Descubre como permitir a tus contactos y clientes cancelar sus datos y evitar sanciones.
Las páginas webs también son inspeccionadas
Si crees que nadie te denunciará, entonces quizás debas tener en cuenta que quizás tampoco sea necesario.
Pero además, es un mito esto de que nadie va a denunciar a una página web, porque no son pocas, y para muestra, un botón:
La Página Oficial de la Junta de Andalucía cada año anuncia el inicio de Inspecciones a páginas web para saber si cumplen con los requisitos legales en materia de LSSI, LOPD y consumo.
Puedes consultar la noticia completa en este enlace
Y ahora imagino que tienes mil dudas y te estás haciendo algunas preguntas incómodas:
- ¿Que pasaría si inspeccionaran mi web?
- ¿Cuántas papeletas tendría de de recibir una carta de la AEPD?
- ¿Estoy a tiempo de solucionarlo?
Puedes hacer mi test de legalidad online y descubrir cuanto de ilegal es tu web y que puntos puedes empezar a solucionar hoy mismo.
Modelos de cláusulas informativas
Ya tienes una solución perfecta,
¿Necesitas plantillas para adaptar tu web, blog o e-commerce? no te vayas, elige el Kit que mejor se adapte a tu web y hazte 100%legal.
¿Cómo puedes cumplir con el RGPD en tu blog?
para que puedas dormir realmente bien, puedes adquirir los kits legales y hacer la adecuación completa de tu web con mis plantillas.
Debes escoger el Kit que se mejor se adapte a tu web y seguir 3 pasos muy sencillos:
- Descargas el Kit y rellenas los datos que te pide cada plantilla. Las plantillas son modulares, te permiten incorporar los módulos que realmente necesitas y descartar los que no.
- Sigue la Guía de implantación para saber cómo insertar las plantillas en tu web.
- Realizas la autoevaluación final para saber que todo está correcto o me contactas para que te realice una auditoría de cumplimiento (esto es un servicio adicional que puedes contratar con las plantillas).
Y con esto ya puedes disfrutar de tener una web 100% legal y libre de sanciones
13 comentarios
Me ha impresionado este artículo, en realidad es que está muy elaborada la forma de redactar, lo cual permite disfrutar de la lectura. Hace ya tiempo leí algo que hablaba de esto, y la verdad es que tambien me maravilló. Ojala que continues posteando artículos tan impresionantes como este, ya que voy a visitar a menudo tu blog.
Hola Marina, grandísimo artículo al igual que otros que has escrito y todas las ponencias y cursos que realizas, eres un referente.
Después del peloteo, te pregunto algo que aunque veo venir que muy legal no es, lo veo en muchas webs y ecommerce, y es que utizan un dirección de email y un teléfono en la portada como medio de contacto.
Sería legal dejar tu email para que contacten, o debe hacerse siempre mediante formulario + check box de aceptación.
Saludos
¡Hola Francisco!
Los peloteos siempre son bienvenidos y cuanto más mejor 😉
Respecto a tu pregunta, es perfectamente legal poner datos de contacto, eso si, el problema es que esos contactos luego no se pueden llevar a una lista porque no podemos acreditar el consentimiento, pero mientras sean los demás los que nos contacten, no problem.
Un fuerte abrazo y pásate cuando quieras por aquí.
Muchísimas gracias por tu contestación tan rápida.
Es verdad, lo importante y que debemos cuidar es almacenar datos personales en archivos ( bases de datos) para su posterior tratamiento.
Si ya te digo, que grande !!
Buen curso te has marcado con los amigos sabandijers ( jaja)
Saludos
Yo solo de leer las posibles sanciones se me quita la idea de abrir un blog. ¿Existe algún seguro que te cubra en caso de que te sancionen? Con las cantidades con las que multan, si estás de autónomo te pueden arruinar la vida..
Hola Alicia, gracias por pasarte por aquí.
Respecto a lo que comentas, las sanciones sólo hay que temerlas si no estás dispuesto a aplicar la legalidad en tu blog, algo muy sencillo de evitar por cierto. En mi blog lo pongo muy fácil, no hay excusa para mantenerte al margen de la legalidad, tienes hasta KITS de plantillas para adaptarte sola sin dificultad.
¿tienes miedo de ir a la cárcel si no cometes ningún delito? seguro que no, con esto es igual.
Existen seguros claro, pero te obligan a cumplir para contratar la póliza, nadie asegura un proyecto susceptible de ser sancionado, por tanto, no le veo el sentido a contratarlos a menos que puedas tener alguna fuga monumental, no debes tener ningún miedo, sólo adaptar tu blog correctamente, si lo haces, te aseguro que no tienes nada que temer.
Un fuerte abrazo
Hola Marina
Gracias por toda la informacion que compartes.
Soy novata en este mundo del Internet, estoy en camino de crear una web y blog. Vivo en America cual es el alcance de esta legislacion Europea, como cumplo con esta ley independientemente de donde se origine la ley?
Hola Patricia, el RGPD te afecta sólo en caso de que trates datos de ciudadanos europeos, si no es así, deberás cunplir con las regulaciones en materia de protección de datos del país en que residas y tengas tu blog.
Un abrazo
En mi opinión, el gran anarquismo bloguero no se corresponde con la cada vez mayor democracia de recursos. Ahora el abanico de posibilidades para tener nuestro blog y formularios perfectamente adaptados ya no solo pasa por contratar los servicios de una agencia sino que también están disponibles recursos DIY como plantillas, más asequibles económicamente (si es que ese era el problema).
Con todo y con esto, sigo dudando de hasta donde nuestra responsabilidad y respeto de la privacidad y los derechos de nuestros lectores y suscriptores prevalece ante la idea de «bueno hasta que no se den cuenta tengo tiempo». Con lo cual, y siento parecer pesimista, pero muchos no aprenderán hasta que no vean la cartita de sanción en su buzón. Triste pero creo que bastante real.
Gracias Alicia nuevamente por aportar tanto valor en tus comentarios. Siempre he sido enemiga de la cultura del miedo, pero a veces, hasta que no se le ven las orejas al lobo, no se toma conciencia real de la necesidad de crear entornos respirables de confianza online.
Un fuerte abrazo y gracias por pasarte por aquí.
Muy interesante! Gracias por un artículo tan detallado para saber como evitar probelmas con nuestro blog.
Hola soy de España y por casualidad he visto tu blog buscando cursos de webs y blogs, soy particular y quisiera saber si de manera particular solo escribiendo en un blog sobre temas que me gustan y la gente lo leyera y si quisiera dejar un comentario en el y poniendo lo de la protección de datos ¿ infringiria algo? gracias
Hola,
Si la web tiene una finalidad 100% domestica, en principio están exceptuada de cumplimiento normativo, pero desde el momento en que recojas tráfico, tengas cookies analíticas, un formulario de contacto, ya estás recabando datos y deberias incluir aviso legal, política de privacidad y política de cookies.
Si no quieres asumir riesgos, te recomiendo las plantillas de textos legales, es lo más ecónomico y sencillo en tu caso.
Un abrazo