Cómo tener una web legal que cumpla la LOPD

Cómo tener una web legal que cumpla la LOPD
junio 17, 2016| En Los Medios

Una web es un escaparate digital de tu negocio y ese escaparate es el que te deja en descubierto si decides mantenerte al margen de los elementos que expresan tu compromiso con la legalidad y los derechos de quienes transitan por tu página web.

Internet permite que cualquiera pueda crearse un sitio web.

¿Cómo distinguir a quienes actúan dentro de la legalidad y quienes lo hacen por fuera?

Para que los usuarios tengan elementos en donde sujetar su confianza y credibilidad, todo site que pretenda ser percibido como web legal debe cumplir con los requisitos exigidos en materia de LOPD (Ley Orgánica de Protección de Datos) y LSSI-CE (Ley de la Sociedad de la Información y el Comercio Electrónico)

Mantenerte al margen de las regulaciones que marcan la línea que separa una web legal de otra que no es una decisión temeraria para tu negocio.

En los últimos años se ha transformado la forma en que las personas nos relacionamos con las marcas. La tecnología ha cambiado los canales de comunicación con clientes, proveedores, usuarios, empleados y no puedes eludir esta transformación.

Piensa en los sistemas que utilizas actualmente para relacionarte con todas las personas relacionadas con tu negocio:

  • Plataformas de email marketing
  • Apps
  • CRM
  • Software de gestión cloud
  • Redes sociales

 

Piensa en todas las estrategias que utilizas habitualmente para llegar a nuevos clientes y realizar tus campañas de captación:

 

Todos estos sistemas y herramientas recaban, gestionan y almacenan datos personales de forma masiva y casi todos confluyen en tu web como centro de tu estrategia de visibilidad.

¿Crees que puedes permitirte no tener una web legal?

Sin duda, este es un error monumental y debes saber que el coste de los errores aumenta cuanto más tardes en detectarlos.

Las regulaciones que debes cumplir para tener una web legal al 100%

Estos avances en la tecnología y en los sistemas de captura y almacenamiento de información que implica la gestión de una web profesional, requieren un marco más sólido y coherente para la protección de datos de usuarios y clientes y la defensa de los derechos de los consumidores online.

El mayor escollo para el desarrollo de una economía digital consiste en tener la capacidad de garantizar la confianza de usuarios y consumidores en las operaciones online.

Sin duda, no saber generar confianza y credibilidad en tu negocio digital será el mayor obstáculo en el éxito de tu proyecto.

Por tanto, la consecución de esa confianza constituye el requisito básico para consolidar tu proyecto y hacer que usuarios y consumidores se acerquen a tu web y realicen operaciones comerciales.

De esta necesidad de confianza y credibilidad nacen dos regulaciones cuyo objetivo es garantizar los derechos a la protección de datos y crear una marco de protección legal para las operaciones comerciales en Internet. Estamos hablando de la LOPD y la LSSI.

1. La ley LOPD

Es la regulación que defiende la integridad de la información personal, la protección de la intimidad y la seguridad en el tratamiento de los datos personales.

Es de obligado cumplimiento para todos los profesionales o empresas que gestionen o almacenen datos personales y por tanto, desde el momento que tienes una web con sistemas de captura de datos personales (formulario de contacto, de suscripción, de compra, etc) debes incorporar sus directrices a la forma de tratar toda esa información.

2. La LSSI-CE

Aplica en:

  • La ejecución de los contratos a distancia
  • Regula las condiciones comerciales en el comercio electrónico
  • Las comunicaciones comerciales por medios electrónicos (La LSSI prohíbe el envío de publicidad por email sin consentimiento cuyos destinatarios sean empresas o particulares)
  • Los posibles abusos de posición dominante y obliga a todos los que establecen relaciones comerciales por Internet a cumplir una serie de requisitos esenciales en cuanto a la transparencia
  • La información y el consentimiento

 

Ambas son ineludibles si tienes una web corporativa, un blog profesional o un e-commerce.

Como adecuar una web a la LOPD y a la LSSI

Cuando alguien requiere un presupuesto para hacer su web legal, parte de la premisa que recibirá unos pocos textos legales y que con eso ya cumple con todos los requisitos.

Otros creen que tener una web legal significa añadir un pop-up que advierta de las cookies, tanto si las tiene como si no, y esto evidencia lo poco que se sabe sobre legalidad y derechos de usuarios en el mundo web.

Lo real es que adecuar una web es mucho más que tener unos textos legales más o menos apañados.

Pasos para cumplir la LOPD yLSSI

A continuación, voy a explicarte paso a paso, como puedes adecuar tu web a la ley LOPD y a la LSSI para que tengas una web legal y comprometida con tus usuarios.

#Paso 1: Cumplimentar la información del “fichero” y notificarlo a la AEPD

La LOPD exige a todos los profesionales y empresas la identificación y notificación de ficheros que almacenen datos personales.

Un fichero es un conjunto organizado de datos que persiguen una misma finalidad.

Por ejemplo: el fichero de clientes, el fichero de recursos humanos, el fichero de usuarios o el de proveedores.

Por tanto, lo primero que tienes que hacer es notificar los ficheros de datos personales que se generen en tu web legal, como el de clientes, usuarios y suscriptores, alumnos si realizas formación, etc.

En el portal de la Agencia se te informa que la presentación de las solicitudes de inscripción de ficheros podrá realizarse indistintamente en soporte papel, informático o telemático, aunque en cualquiera de los casos, su cumplimentación debe realizarse a través del formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA).

Allí podrás realizar la inscripción inicial del fichero completando un formulario electrónico.

En el Apartado 10 de la inscripción, correspondiente a Transferencias internacionales de datos, debes informar si realizas, o tienes previsto realizar un tratamiento de datos fuera del territorio del Espacio Económico Europeo, algo bastante común si utilizas plataformas que tengan sus servidores fuera de la Unión Europea, un tema que se ha complicado tras la disolución de Safe Harbor.

En caso de utilizar proveedores extracomunitarios que almacenen datos personales (Como una plataforma de Mail Marketing) , deberás pedir autorización a la Agencia Española de Protección de datos y declararlo en este apartado.

#Paso 2: Redacción de textos legales en tu web o blog

Los textos legales de una web son además una declaración de principios y de compromiso con todas las personas que se relacionan con tu web. Son imprescindibles y deben estar en un sitio visible y accesible para el usuario.

La Redacción de cláusulas de información destinadas a informar al usuario sobre los términos y condiciones de tu web son un requisito indispensable desde el momento en que utilizas cualquier sistema de captura de información personal, como un formulario de contacto o suscripción y con mucha más razón si realizas proceso de venta directa o indirecta, como la monetización de un blog mediante anuncios.

La finalidad de los textos legales es suministrar una serie de datos e información referente al sitio web legal, como:

► La identificación del responsable

El nombre o denominación social y datos de contacto del responsable de la web, que serán: domicilio, dirección de correo electrónico, teléfono o fax, los datos del registro mercantil en caso de estar registrada, el NIF , el código de colegiación si el responsable ejerce una profesión regulada, el título académico, y el estado de la UE donde se consiguió.

► Del tratamiento y gestión de los datos personales

Toda la información que afecte al usuario en lo referente a su privacidad, sistemas de captura, finalidad de la información obtenido, servicios de terceros con acceso a datos de usuarios, transferencia internacional de datos si existiera, etc. Toda esta información se vuelca en la política de privacidad.

► Derechos de usuarios

Aquí es donde se exponen los derechos que tienen los usuarios en materia de protección de datos y comercio electrónico.

► Información sobre usos, responsabilidades y obligaciones

Todas las cláusulas de propiedad industrial, responsabilidad, condiciones de uso de la web.

► Las Cookies que descarga la web

Uno de los puntos más importantes a la hora de aplicar este reglamento es la necesidad de informar al usuario explícitamente de la utilización de cookies en nuestra página web, en especial en cuando se utilizan cookies de terceros.

► Condiciones generales de venta o condiciones de contratación

Solo aplica en aquellos casos en donde se incluya la venta de productos o servicios a través de la web que deben estar disponibles antes de la adquisición del producto o servicio.

Los trámites o pasos a seguir para celebrar el contrato, la lengua o lenguas en que se podrá formalizar el contrato, el derecho a desistimiento comercial, Política de devoluciones, los gastos de envío originales ,la garantía legal de la compra, etc.

Todos esa información debe informarse en 4 tipos de textos legales:

  • El aviso Legal
  • La Política de Privacidad
  • La Política de cookies
  • Las condiciones de contratación

 

Si utilizas autorrespondedores, además debes incluir cláusulas informativas y permitir el derecho del usuario a desistir de nuevas comunicaciones comerciales.

El aviso legal, la política de privacidad, las condiciones de contratación y la política de cookies deben constar separados, para mayor entendimiento y transparencia en las páginas de inicio y en todas las subpáginas.

Paso 3: Auditar, informar y requerir el consentimiento para descargar cookies

La Ley de Cookies es seguramente la parte más complicada en el cumplimiento de la LSSI ya que obliga a informar de manera clara, completa y previa a la instalación de cookies, de forma que se pueda obtener el consentimiento informado del usuario antes de ser descargadas y en esto radica justamente su complejidad.

No basta con informar de su presencia, también hay que describir las características y funcionalidades de cada una de ellas y como si eso ya no fuera del todo complejo, la norma exige también bloquear las cookies hasta haber obtenido el consentimiento del usuario.

El caso es que la mayoría de las web no informan adecuadamente, ni en la forma ni en el fondo.

La manera correcta de cumplir con este requisito en materia de cookies es la siguiente:

1) Advertir: primero en una primera capa (pop-up-banner de la presencia y tipo de cookies que descarga tu web de modo genérico)

2) Informar: detalladamente en una segunda capa (enlace a política de cookies) sobre qué son las cookies, el tipo de cookies que descarga tu web, la finalidad y duración de cada una de ellas y la manera de eludirlas.

3) Pedir el consentimiento: después de haber recibido la información, el usuario, si quiere, puede decidir o no aceptar las cookies.

Debes darle la oportunidad al usuario para salir de la web sin que se le hayan instalado cookies, es decir, tenerlas quietecitas y amarradas hasta que el usuario te dé su permiso y luego abrir el grifo de las cookies para que se explayen en el ordenador del usuario.

Para informar de las cookies, hay varias formas:

  • Página de bienvenida con información sobre cookies y botón de aceptar
  • Pop-up previo que suspenda la carga completa de la página hasta la aceptación
  • Cabecera o pie de página con información y una caja de aceptación.

 

Dependiendo del diseño de tu web, optarás por un método u otro.

Yo recomiendo que este sea lo menos invasivo posible de cara al usuario para evitar abandonos de la página u otros problemas de usabilidad.

Paso 4: Adecuar todos los formularios de tu web legal

Los formularios de contacto son los sistemas que permiten capturar información de usuarios y como tal, requieren estar adecuados.

Cuando un usuario facilita voluntariamente sus datos de carácter personal a través de tu página web legal , debe prestar su consentimiento con el tratamiento de los mismos en los términos de los que ha sido convenientemente informado en el momento de la recogida.

Todo formulario de contacto debe obedecer a dos principios básicos:

Información y consentimiento.

Por tanto, en todos tus formularios de contacto debes introducir:

  • Cláusulas informativas que cumplan con el deber de información requerido por la LOPD (Artículo 5)
  • Requerir la conformidad del usuario para el tratamiento de su información.

 

Ambos obligatorios y susceptibles de sanción, pero toda una manifestación de legalidad que no pasará desapercibida y el usuario no tardará en identificarla.

Cuando rellenas un formulario que no te requiere permiso para utilizar tus datos, ya empiezas a inquietarte.

Es imprescindible que siempre requieras la conformidad del usuario con tu política de privacidad antes de validar sus datos en cualquier formulario de contacto mediante una casilla de “acepto”.

Paso 5: Sistemas de validación de usuarios

Algo esencial e imprescindible.

Si no has incluido ningún sistema de validación de usuarios en tus sistemas de suscripción, mal vamos.

Es imprescindible la creación de un sistema de verificación doble opt-in para acreditar la identidad y voluntad de los suscriptores y requerir confirmación a su suscripción, también obligatorio.

Ten en cuenta que además, debes asegurarte de la procedencia legítima de esa dirección y esos datos personales. Para eso se recurre al envío de un mensaje que mediante una acción explícita, como el opt in, exige confirmar el deseo de suscripción.

Por ejemplo:

Ahora son muy populares los pop-ups de captación de leads SumoMe, si los utilizas, debes asegurarte de configurar el doble opt-in que en la mayoría de las cosas no se configura.

Finalmente, debes saber que la LSSI prohíbe el envío de comunicaciones comerciales no solicitadas o autorizadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes, que no hayan sido autorizadas o expresamente autorizadas.

Por tanto, la única manera de acreditar esa autorización es el doble opt-in.

Paso 6: Adecuación de las cláusulas a incorporar a los correos electrónicos y los boletines

Ya vimos que un punto central en la LSSI (Ley de la sociedad de la información y el comercio electrónico) y la LOPD es la transparencia.

Para satisfacer este principio de transparencia, es esencial desarrollar cláusulas informativas específicas, tanto para incluir en los correos electrónicos ordinarios de tu blog como en tus boletines.

No deberías nunca mandar un correo o un boletín sin informar sobre tu identidad, como has obtenido esos datos, cuál es su finalidad y como pueden los destinatarios ejercitar su derecho a acceder, rectificar, cancelar u oponerse al tratamiento de sus datos.

Esta información es obligatoria y debe estar presente en cada nueva comunicación.

También es obligatorio darle la posibilidad al usuario de desistir de nuevas comunicaciones en cualquier momento, por eso, debes ofrecer siempre esta posibilidad habilitando un mecanismo para gestionar las bajas, algo que plataformas como Mailrelay hacen automáticamente.

Paso 7: Seguridad de tu web legal

De acuerdo con lo establecido por el artículo 9 de la LOPD:

“el responsable de una web deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”

La mejor recomendación de seguridad para una web legal al 100% es la adopción de medidas que eviten que la información circule por la red de forma intangible y, por tanto, susceptible de ser conocida o manipulada por terceros por tanto, es una buena práctica proporcionar al usuario información acerca del nivel de protección que proporciona la tecnología utilizada, como pueden ser sistemas de cifrado o similares.

También son recomendables los certificados digitales y protocolos robustos de seguridad.

Paso 8: Redacción de contratos con terceras empresas que accedan a los datos

La LOPD es muy clara en este sentido, como responsable de la gestión de unos datos, eres responsable también de asegurarte que quienes tenga acceso a esos datos, sean igual de diligentes que tú a la hora de tratarlos.

Es por eso que surge la figura del encargado de tratamiento, que es la persona que actúa por encargo del responsable, como un webmaster, proveedores informáticos, moderadores freelance, hosting, gestoría, etc. o aquellos proveedores de servicios, como servicios de limpieza, arrendamiento de locales, etc. que por el tipo de servicio prestado pueden acceder a los datos personales que están bajo tu responsabilidad.

Para garantizar que estos encargados hagan un uso adecuado de la información a la que le das acceso, debes preparar contratos específicos en donde se especifique:

  • El tipo de colaboración
  • El tipo de acceso a datos personales
  • La duración del encargo
  • Los términos en que esta información puede utilizarse

 

Imagina lo que ocurriría si alguno de tus colaboradores decide explotar tu base de datos sin tu consentimiento, no solo perderías muchos clientes, perderías tu reputación y muchos euros en sanciones por no haber regulado y prevenido esta situación.

No es que un contrato evita que otro meta la pata, pero al menos deriva responsabilidades hacia su persona y tu podrás librarte de una sanción.

Las consecuencias de la desidia ¿Qué pasa si no cumplo con tener una web legal?

Consecuencias de no tener una web legal

Creo que es algo que ni siquiera deberías plantearte si aspiras a consolidar un negocio online, no obstante, te propongo analizar las consecuencias directas e indirectas de la falta de adecuación legal de una web:

1.Desamparo legal frente a reclamaciones injustificadas: No apostar por una web legal es no proteger tus propios intereses y asumir reclamaciones absurdas por no blindarte legalmente. Ten en cuenta que estás regulaciones no solo defienden los intereses de usuarios y consumidores, también los de los prestadores como tú.

2.Sanciones inasumibles y riesgos reputacionales: Una denuncia de un usuario o consumidor por cumplir con tus obligaciones legales en materia LOPD y LSSI te expone a sanciones por infracciones a la LOPD y la LSSI que pueden dinamitar todo tu proyecto y acabar con tu reputación.

3.Pérdida de competitividad: Tener una web al margen de la legalidad te deja en descubierto frente a tu propia competencia y te resta credibilidad profesional. Pierdes competitividad al no poder garantizar derechos y deterioras tu imagen profesional.

4.El nuevo reglamente europeo en materia de protección de datos: no solo refuerza la actual LOPD sino que impone mayores obligaciones y controles a todos los operadores que traten con datos personales, en especial, los que actúen por internet.

Es completamente incierto el rumor de que deja de ser obligatoria, solo se suprimiría posiblemente el deber de inscribir ficheros, así que es mejor que no te quedes al margen.

El régimen sancionador es especialmente duro en España y nada benevolente con quienes vulneran derechos recogidos por la constitución, como el derecho a la protección de datos.

Por otra parte, los nuevos modelos de negocio que surgen de entornos digitales, exigen a los profesionales mayores compromisos con usuarios y clientes para garantizar un clima de confianza respirable que fomente el comercio electrónico.

 

Te propongo analizar tu web tras leer este tutorial y descubrir sus puntos críticos, estás a tiempo de eliminarnos.

¿Apuestas tú por una web legal?

Fuente: Mailrelay

Suscribete a nuestra Newsletter