viernes, 9 de enero de 2015

¿Qué debo tener en cuenta para que mi página web cumpla con la LOPD y LSSI?

Hoy en día, cada vez son más las empresas que deciden emprender su camino a través de Internet, dándose a conocer, publicitándose o incluso comercializando sus productos o servicios a través de este canal. Aunque esto es totalmente lícito y posible, es fundamental que cualquiera que tome esta decisión, conozca la normativa que se le aplica y actúe conforme a ella, pues es la única manera de evitar incumplimientos, de evitar perjudicar al consumidor o usuario y, finalmente evitar cuantiosas sanciones, sencillas de solventar con un buen asesoramiento previo.

Vamos a hablar a continuación de tres textos que prácticamente existen en cualquier página Web de cualquier tipo: La Política de Privacidad, el Aviso Legal y la Política de Cookies. Y terminaremos hablando de un cuarto texto, de suma importancia, pero que únicamente incorporarán aquellas páginas Web que realizan comercio electrónico o tengan una tienda online.


A. En primer lugar, hablaremos de la Política de Privacidad.

Se trata de un texto que deberán incluir aquellas páginas Web en las que se recojan y/o en las que se traten datos de carácter personal y al que se deberá poder acceder fácilmente y de forma sencilla. Este texto, deberá incluir información sobre los diversos tratamientos de datos que se van a realizar por el Responsable a través de la Página Web en cuestión, -desde ponerse en contacto con el usuario/cliente, contestar la consulta planteada a través del formulario o enviar publicidad, por ejemplo-. Y deberá indicar como mínimo:

- Quién es el Responsable de los Datos.
- Para qué finalidad se recogen.
- Si se ceden a alguna empresa (por ejemplo, de publicidad para envío de Newsletter).
- Qué datos es obligatorio que facilite el usuario y qué datos no lo son y porqué.
- Si existe alguna transferencia internacional de datos entre empresas.
- Las medidas de seguridad que se han implantado para evitar accesos no autorizados a esos datos o para evitar pérdidas de información.
- La posibilidad de que los usuarios puedan ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición) y la forma en que éstos pueden ejercerlos.

La existencia de este texto, será obligatoria, por ejemplo:

- Si en la página Web se decide incorporar un formulario de contacto. En este caso, la empresa está realizando una recogida y, posteriormente, un tratamiento de datos personales con la información que obtiene del usuario que cumplimenta el formulario y por tanto se deberá cumplir con lo dispuesto en la Ley de Protección de Datos (LOPD). 

- Si la página Web dispone de un apartado para suscripción a Newsletter. En este caso, al igual que en el anterior, se está recogiendo una información que será tratada para el envío de comunicaciones comerciales electrónicas o publicidad y se deberá, por ejemplo, solicitar consentimiento expreso para poder enviar estos Newsletter, y cumplir con lo dispuesto en la LOPD y en la Ley de Servicios de Sociedad de la Información y Comercio Electrónico (LSSI-CE). 
Por ejemplo, el no establecimiento de una adecuada política para el envío de comunicaciones comerciales electrónicas o Newsletter, puede ser objeto de sanciones de cuantías importantes. Por ejemplo, recientemente la Agencia Española de Protección de Datos, ha sancionado con 6.000 euros a una empresa por no atender debidamente la política de comunicaciones comerciales electrónicas.

Ahora bien, el hecho de que aparezca este texto en una página Web, es, para que nos entendamos, la parte visible de las obligaciones que establece la LOPD.

Es muy importante que además de incluir este texto en una página Web, la empresa o empresario implante de manera adecuada la normativa sobre protección de datos en todos sus niveles, valorando los distintos tratamientos de datos que se hacen o se van a hacer en la empresa (desde que se formaliza un contrato hasta que se presta un servicio, envío Newsletter, sorteos, encuestas ….), estudiando posibles cesiones de datos y la existencia de encargados de tratamiento (asesores, informáticos u otros), inscribiendo ficheros en la Agencia Española de Protección de Datos, detectando si existen transferencias internacionales de datos, elaborando un Documento de Seguridad, y estableciendo las medidas de seguridad adecuadas al tipo de datos que se manejan.

Incumplir con la normativa de protección de datos en cualquiera de sus ámbitos, puede conllevar sanciones desde los 900€ a los 600.000€. Dividiéndose las mismas en tres tipos, según la gravedad de la infracción:

- Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
- Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
- Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.


B. Con la apertura de una página Web empresarial lo que normalmente se pretende, es realizar una actividad económica directa (actividades propias de comercio electrónico) o indirecta (exhibición de servicios, publicidad, etc.). Es por ello, que se deberá atender a lo dispuesto en la ya mencionada LSSI-CE, y en otras normativas de diversa índole y, a partir de ellas, elaborar lo que se suele llamar “Aviso Legal” . Al igual que el anterior, este texto deberá estar accesible de manera fácil y gratuita en la página Web.

La LSSI-CE obliga a las empresas, a incluir en este texto una serie de información que permita a los usuarios identificar y localizar a la empresa/empresario de una manera rápida y sencilla. Concretamente se exige indicar:

- Nombre o denominación social, domicilio, correo electrónico, teléfono o cualquier otro dato que permita una comunicación directa y efectiva.
- Datos de inscripción en el Registro mercantil y número de identificación fiscal. (Si se trata de autónomo, se deberá indicar el NIF).
- Datos identificativos del órgano competente encargado de la supervisión de la autorización administrativa, caso de que la actividad lo requiera.
- En caso de ejercer una profesión regulada: Datos del Colegio Profesional al que pertenece y número de colegiado, título académico oficial o profesional, Estado en que se expidió el título u homologación, normas deontológicas aplicables a la profesión.
- Códigos de conducta a los que esté adherido.

En cuanto a estas obligaciones se ha llegado a conocer alguna sanción (aunque son de muy difícil acceso público) en la que se sancionó a una empresa al pago de 600 euros, porque en su Aviso Legal sólo ponía como forma de contacto con él, su correo electrónico y no indicaba otro dato que permitiese establecer con él una comunicación directa y eficaz, tal como establece la normativa. Lamentablemente no disponemos de la resolución para poder enlazarla en este artículo para vuestra consideración.

Sin embargo si disponemos de otra reciente, impuesta por el Ministerio de Industria, Energía y Turismo, y en la que una empresa era sancionada con 180 euros, porque en su Aviso Legal indicaba que la mercantil estaba inscrita en el Registro Mercantil “X”, pero no ofrecía: “información general de forma permanente, fácil, directa y gratuita sobre los datos de su inscripción en el registro correspondiente (…)”.

Es decir, no indicaba datos tales como tomo, libro, folio y hoja donde constaba la inscripción en el Registro Mercantil.

Pero es que además de esta información, el Aviso Legal, suele incorporar temas relacionados con las Condiciones de uso de la página Web, registros a zonas privadas de la página Web, temas relacionados con la Propiedad Industrial e Intelectual propios o de terceros, responsabilidades por enlaces contenidos en la página Web de la que se es titular, procedimientos para la notificación de posibles infracciones que pudieran derivarse de la página Web, así como la ley aplicable en caso de conflicto de interpretación de los contenidos de la página Web.


C. Además, es cada vez más común que cualquier página Web instale o ejecute en los navegadores de sus usuarios lo que se llaman “Cookies”. A través de ellas, lo que se pretende por el titular de una Web es, bien optimizar la navegación, bien realizar estudios estadísticos o bien mejorar los servicios ofrecidos y/u ofrecer publicidad personalizada en función de los patrones de navegación de los usuarios (por ejemplo: Adwords, Analytics, etc.).

En caso de que una página Web decida instalar estas Cookies deberá sí o sí cumplir lo dispuesto para ellas en la LSSI-CE e incorporar en la página Web lo que se ha denominado como “Política de Cookies”. Ahora bien, esta Política de Cookies, deberá realizarse siguiendo las siguientes pautas:

- Incluir un banner con una primera capa informativa que hable de la existencia de cookies, el tipo de cookies y la finalidad.
- Que este banner derive a una segunda capa informativa con información más específica del tipo de cookies que se instalan, las funciones de las mismas, su duración, cómo se da el consentimiento para su instalación, como se revoca este consentimiento y la forma en que el usuario puede desinstalar las Cookies.
- Establecer un sistema adecuado para obtener el consentimiento del usuario (aunque sea tácito).

Es por ello, que es absolutamente necesario auditar de manera específica cada página Web para conocer qué Cookies se han instalado en ella, detectar cuales son propias y cuáles son de terceros y poder determinar con claridad las finalidades y sobre todo la necesidad de que esa Cookie esté instalada en una página Web o si por el contrario se podría prescindir de ella.

Se debe saber, que incumplir con la LSSI-CE en cualquiera de sus artículos, puede conllevar sanciones de hasta 600.000€. E igual que ocurre con la LOPD, las sanciones se dividen en tres tipos, según la gravedad de la infracción:

- Las infracciones leves serán sancionadas con multa de hasta 30.000 euros.
- Las infracciones graves serán sancionadas con multa de 30.001 a 150.000 euros.
- Las infracciones muy graves serán sancionadas con multa de 150.001 a 600.000 euros.


D. Para terminar el presente artículo, vamos a hablar brevemente de un cuarto texto que únicamente deberán incorporar aquellas páginas Web que realicen Comercio Electrónico y, vendan sus productos o servicios a través de una tienda online. Estamos hablando de las “Condiciones Generales de la Contratación”. 

Básicamente se trata de un contrato de adhesión que los clientes de una tienda online aceptarán en el momento en que adquieran los productos o contraten los servicios que se comercializan a través de una página Web determinada.

Dado que se trata de un texto elaborado de manera unilateral por la empresa o empresario que ofrece y comercializa los productos o servicios a través de un Sitio Web y, sobre el que el consumidor no puede, nada más que adherirse, el texto deberá elaborarse desde el conocimiento de una gran cantidad de normativas que variarán evidentemente dependiendo del tipo de actividad que desarrolle la empresa o el empresario.

Pero sobre todo, este texto no puede perder de vista normativas tales como la Ley de Condiciones Generales de la Contratación o la Ley de Consumidores y Usuarios y demás normas complementarias, y en base a ellas, configurar un texto con un clausulado claro, transparente y no abusivo.

Es necesario, que estas Condiciones, además de permanecer en un lugar visible dentro de la página Web de manera que cualquiera pueda conocer su existencia y contenido antes y durante la contratación; sean aceptadas por los usuarios/clientes que finalmente decidan adquirir los productos o servicios a través de un Sitio Web. Por ello, y para que esta aceptación sea válida, deberá informarse de manera adecuada, previa y suficiente sobre la existencia de este articulado y sobre su contenido. Es importantísimo que el vendedor, se asegure de que la aceptación de estas Condiciones por parte del consumidor, se ha realizado cumpliendo la normativa, dado que la carga de probar que las mismas fueron aceptadas correctamente, caerá sobre el empresario de la tienda online.

Para terminar, me gustaría hacer una reflexión.

Es muy habitual que aquéllos que deciden emprender o ampliar su negocio a través de Internet, decidan, en lugar de contar con expertos asesores, para el estudio, elaboración y redacción personalizada de estos textos, para efectivamente prevenir incumplimientos y sanciones; se dediquen a copiar y pegar textos de entidades que quizás vendan productos o servicios parecidos a los suyos. Sin embargo, debe tenerse en cuenta que, el hecho de que se realice ese “copia y pega”, y que aparentemente la Web “cumpla” con las diversas normativas que le afectan, estas acciones de copiar y pegar, implican en muchas ocasiones que, por ejemplo, una empresa que presta sus servicios en España únicamente, se someta a la legislación griega y a los Juzgados y Tribunales Griegos, o se obliguen a prestar servicios o entregar productos que nada tienen que ver con los suyos.

Por eso, es tremendamente importante perfilar la Política de Privacidad, el Aviso Legal, la Política de Cookies y las Condiciones Generales de la Contratación, de manera específica para cada empresa. Pues, cada una, es un mundo y presta sus servicios o vende sus productos a su manera, e incluso acudir a esta técnica del “copia y pega” puede ocasionar graves consecuencias para un negocio.

(Fuente: Alicante Actualidad)

No hay comentarios:

Publicar un comentario