Protección de datos GDPR

Disponer de una web corporativa es esencial para la estrategia comercial y de marketing. Sin embargo, es muy importante conocer todos los requisitos legales que debe incluir en aspectos como la protección de datos, los servicios al cliente o la política de privacidad o de cookies. Te explicamos todos los puntos y pasos que debes dar para contar con una web de empresa en regla.

En la actualidad, prácticamente todas las empresas disponen de página web, sin duda una herramienta más que necesaria si queremos disponer de un espacio de difusión de nuestros productos, nuestra visión y misión corporativa o nuestros servicios. La web, junto al resto de elementos presentes en la red en una compañía, forma parte intrínseca de su estrategia comercial y de marketing. Como cualquier aspecto relacionado con la organización, la publicación de una página web de empresa debe atenerse a la ley y, en este sentido hay varios requisitos legales indispensables para que podamos estar online cumpliendo con toda la normativa en vigor.

El dominio, primer paso

Registrar un dominio es uno de los primeros pasos que deberemos dar si queremos tener nuestra propia web. En el caso de un proyecto empresarial, lo más aconsejable es que compremos un dominio y evitemos utilizar los de plataformas sin coste que cuentan con una extensión de la misma en la URL. Junto con la compra del dominio, que podremos hacer en varias webs proveedoras de registros, debemos tener presentes algunos aspectos legales importantes.

Esencialmente, deberemos poner atención en que el nombre del dominio no entre en conflicto con ninguna marca registrada. Si hacemos referencia al nombre de nuestra empresa, que previamente se ha constituido y ha recibido la confirmación de que no hay ningún conflicto con otros nombres, el registro de la web no debería suponer ningún inconveniente. Sin embargo, si hacemos alguna variación en el nombre de la web, o por ejemplo se trata de una web pensada para una campaña concreta, con algún mensaje, etc., deberemos asegurarnos de que no invadimos el espacio de ninguna otra compañía que tenga alguna marca o producto registrado con el mismo que queremos nosotros.

Ley LSSI: servicios de la sociedad de la información y comercio electrónico

Nuestra página web deberá cumplir otros requisitos regulados por varias leyes muy específicas sobre la actividad en la red. Una de las principales es la conocida como LSSI, Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (Ley 34/2002). Esta Ley tiene como objeto la incorporación al ordenamiento jurídico español de la Directiva 2000/31/CE, relativa a determinados aspectos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior. También incorpora parcialmente la Directiva 98/27/CE sobre las acciones de cesación en materia de protección de los intereses de los consumidores. Esto es importante, porque tenemos que entender que nuestra página web ya no sólo tiene que estar cumpliendo con lo que dicta la normativa de España, sino que al ser visible desde cualquier parte del mundo y al estar dentro de la UE, tiene que cumplir con la legislación que vincula a todos los estados miembros: las Directivas.

Y bien, ¿qué regula esta Ley de Servicios de la Sociedad de la Información? Engloba, además de la contratación de bienes y servicios por vía electrónica, el suministro de información por dicho medio, las actividades de intermediación relativas a la provisión de acceso a la red, a la transmisión de datos por redes de telecomunicaciones, a la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, al alojamiento en los propios servidores de información, servicios o aplicaciones facilitados por otros o a la provisión de instrumentos de búsqueda o de enlaces a ortos sitios de Internet, así como cualquier otro servicio que se preste a petición individual de los usuarios, siempre que represente una actividad económica para el prestador.

En términos generales, toda web que comporte una actividad económica directa o indirecta deberá seguir la regulación vigente. Lo regula… todo.

Los principales puntos a incluir en nuestra web de empresa para estar en regla según esta ley son:

  1. Nombre o denominación social y datos de contacto: domicilio, e-mail y cualquier otro dato que permita una comunicación directa y efectiva.
  2. Datos de inscripción en el Registro Mercantil.
  • Número de Identificación fiscal (NIF).
  1. Información veraz y actualizada sobre el precio de los productos, indicando si incluye o no los impuestos aplicables, gastos de envío, tiempo máximo para la entrega y política de devolución, si la hubiere. Hay que tener en cuenta que las erratas en la publicación de estos servicios han de corregirse y comunicarse por el mismo medio, siendo vinculantes las expuestas en la web en el momento de la perfección del contrato de compra venta.
  2. En el caso de que la actividad que se ejerza precise de una autorización administrativa previa, los datos relativos a la misma y los identificativos del órgano encargado de su supervisión.
  3. Si se ejerce una profesión regulada, los datos del Colegio profesional y el número de colegiado, el título académico, el Estado de la Unión Europea en que se expidió y la correspondiente homologación, en su caso, así como los códigos de conducta a los que esté adherido, si los hubiere, y la forma de consultarlos electrónicamente.

Además, en el caso de realizar ventas, contrataciones o reservas de servicios o productos a través de una web, antes de iniciar cualquiera de estos procedimientos, deberemos poner a disposición del usuario, mediante técnicas adecuadas al medio de comunicación utilizado y de forma permanente, sencilla y de fácil comprensión toda la información sobre:

  • Los trámites o pasos que debe seguir para hacer la reserva o compra.
  • Las condiciones generales de contratación.
  • Los trámites o pasos a seguir para dar cumplimiento a la política de devolución de productos y/o servicios de la empresa o persona física que los preste.
  • La forma de archivar el documento electrónico del contrato, los datos y dónde estará disponible esta información para acceder a ellas.
  • Los medios técnicos que ponemos a su disposición para identificar y corregir los errores en la introducción de cualquier dato.
  • El idioma en el que puede formalizarse el contrato.
  • Confirmación de la contratación.

Los datos, siempre regulados bajo la LOPD

Junto con la LSSI, la otra gran regulación sobre la actividad en la red está recogida en la Ley Orgánica 15/1999, de Protección de Datos (LOPD).

Los datos de clientes, suscriptores o cualquier tipo de usuario que nos los facilita tienen mucho valor.

Requisitos para cumplir con la Ley Orgánica de Protección de datos.

Compañías líderes del mercado como Google o Facebook, entre otras, tienen en el Big Data su principal valor añadido, con una base de datos de millones de usuarios de los que conocen su comportamiento en la red, sus gustos o su ubicación en cada momento. En España, toda empresa que disponga de datos de sus clientes o usuarios debe cumplir esencialmente con los siguientes requisitos:

  1. Informar a los usuarios de las acciones relacionadas con sus datos recogidos: qué datos personales estamos recogiendo y cómo los vamos a utilizar.
  2. Obtener el consentimiento del usuario: el consentimiento deberá ser expreso mediante la aceptación de la Política de Privacidad.
  • Proporcionar un método, por ejemplo mediante un enlace, para que los usuarios puedan consultar, modificar o dar de baja sus datos en cualquier momento.
  1. Establecer medidas de seguridad para proteger los datos: nos referimos a disponer de una copia de seguridad semanal de los mismos, modificar las contraseñas de acceso a los datos de forma periódica, mínimo una vez al año, y especificar mediante registro quién tiene permisos para acceder a los datos.
  2. Por último, es esencial registrar el fichero de datos en la Agencia Española de Protección de Datos. Este procedimiento, si disponemos de certificado electrónico, podemos hacerlo de forma telemática en unos minutos y nos quitará futuros y duros quebraderos de cabeza. Esto, ¡Ojo! es uno de los once grandes cambios que trae la aplicación definitiva del RGPD, sigue leyendo.

La Política de Cookies

Nuestra web también deberá indicar la Política de Cookies establecida y tenerla visible cuando el usuario accede por primera vez a la página. En el contenido de la política detallaremos qué información almacenamos en el navegador cuando el usuario acceda a nuestra web.

La legislación española ha establecido que para instalar determinados tipos de cookies en su navegador es necesario informar previamente y obtener su consentimiento. Así, informaremos al usuario desde dónde se envían las cookies, qué finalidad tiene su almacenamiento (técnica, analítica o de sesión, por ejemplo) o cómo puede controlar sus cookies en todo momento.

Las Condiciones Generales de Contratación

La Ley 7/1998 sobre Condiciones Generales de Contratación nos indica nuestra obligación de mostrar las características del proceso de compra, reserva o contratación que realizarán los usuarios a través de la web. Nos referimos, por ejemplo, a la información de la empresa y a su producto o servicio, los precios, las formas de pago disponibles o las condiciones de cancelación. De esta forma, el usuario está informado de qué va a contratar, cómo puede hacerlo o cuál es la empresa que va a ser su proveedora.

Por último, no debemos olvidar normas como el Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, que recoge los principales derechos de los consumidores ante nuestra actividad.

Cumplir con todos los requisitos en nuestra web corporativa puede parecer complicado. Sin embargo, servicios como los que ofrece Bluefactory Studios nos dan la tranquilidad de cumplir con la LSSI, LOPD y GDPR (Reglamento Europeo de Protección de Datos)

También es importante estar siempre actualizados, siendo recomendable contar con un soporte externo que nos informe sobre cuándo tenemos que actualizar los archivos de la base de datos o sobre si ha habido alguna modificación de la legislación a la que nos tengamos que adaptar.

Sus asesores evalúan los riesgos y necesidades de cada empresa para redactar un Documento de Seguridad a medida. También elaboran un estudio para cada empresa adoptando las medidas de seguridad acorde con su funcionamiento diario.

Cómo pueden las tiendas online adaptarse a la LOPD

Según el Reglamento Eurpoeo (GDPR), si se recopila o almacena cualquier información que pueda vincularse con un individuo, ésta será considerada información personal. Es decir, si se permite que los clientes creen cuentas en la tienda o que se tomen sus direcciones de correo electrónico, ambas se considerarían como “datos personales”. Incluso la información más rudimentaria, como una dirección IP que no identifica a una persona específica, contará como dato personal.

¿Cómo pueden, por tanto, adaptarse las tiendas de Internet?

Las tiendas online deberán extremar la precaución en todas sus gestiones y procesamientos. En primer lugar, siempre que un cliente nuevo acceda a su servicio mediante registro, deben notificar a la Agencia Española de Protección de Datos (AGDP) los ficheros que recogen la información detallada en los formularios de inscripción, así como cualquier alteración de los mismos.

Asimismo, para recabar y guardar los datos de terceros, las tiendas online habrán de contar con su consentimiento. Para ello se ha de recabar el consentimiento del usuario siempre que se requiera algún dato personal, al igual que todas aquellas ocasiones en las que los datos pasen a ser almacenados.

Dicho esto, el GPDR no es nuevo. Entro en vigor hace dos años, exactamente el 25 de mayo de 2016. Estos dos años son el “periodo de adaptación” que determinada normativa europea nos concede a los 28 países miembros. Por lo tanto, este viernes día 25 de mayo de 2018 finaliza el plazo para adaptarse a sus estipulaciones. Algunos ya lo hemos hecho y… los que no hayan sido previsores, aún tienen dos días.

¿Qué ha cambiado realmente? ¿Cuáles son las novedades?

  1. Su ámbito de aplicación: extraterritorial. Ya no se tiene en cuenta dónde se encuentra quién tiene la página web y almacena datos; ahora se tiene en cuenta al ciudadano que es “propietario” de esos datos. Y es más, no sólo protege ciudadanos europeos, sino a personas ubicadas en cualquier país miembro de la UE con independencia de su nacionalidad. Es una norma universal.
  2. Derecho de portabilidad y traslado de datos personales de una empresa con fichero propio a otra. Cambio de los datos en bloque. Recuperación y traslado de los mismos. Modificación, por simplificar el concepto, de la plataforma de almacenamiento de esos datos y su responsable.
  • El derecho al olvido. Aquello que en su día el Tribunal de Justicia de la UE dijera sobre la petición a buscadores y plataformas de tratamientos de datos de desindexar contenidos.
  1. Información transparente, clara y concisa de las políticas de privacidad. El adiós definitivo a políticas ilegibles e interminables. Se busca la simplificación de los términos y condiciones con el fin de hacerlos más comprensibles. Esta podrá facilitarse en dos tramos:
    1. Un primer paso sencillo, esquemático y representativo de los términos
    2. Y un segundo paso irremediablemente menos coloquial y llano, de carácter eminentemente jurídico.
  2. Variación en los importes de las sanciones. Sí, como todos esperábamos, se disparan las sanciones. Por poner un ejemplo, en España pasamos de multas máximas de 600.000 euros a nada más y nada menos que 20 millones o el 4% de la facturación global anual de las empresas sancionadas.
  3. La edad para dar el consentimiento los menores. Establece la edad mínima en 13 años, a partir de ahí, los estados podrán determinar la edad. Eso sí, el Reglamento habla de menores a partir de los 16 años.
  • Obligación de que prime la protección y la proactividad en lo relativo a los datos personales frente al diseño, la simplicidad y facilidad en su uso y el sistema de acceso a los datos. Todo eso pasa a un segundo plano: protección ante todo.
  • Todo a nivel Europeo, no nacional. Se implanta un sistema de ventanilla única para los 28 estados miembros.
  1. Se elimina la “inscripción en ficheros” y se implanta el “registro de actividades”. Con esto informamos de todo. Quién entra en nuestros ficheros, cuándo, cómo solicita la modificación de sus datos, su eliminación o comprobación. Los ficheros de antes eran más estáticos. Ahora buscamos y perseguimos el dinamismo, la transparencia y la veracidad de los datos contenidos en nuestros archivos.
  2. Eliminación de “niveles” o categorías en los ficheros. Hasta ahora se permitía hacer una clasificación de datos: nivel medio (nombre completo o e-mail, por ejemplo) o nivel alto (datos médicos). Ahora todo está a un mismo nivel. Todo es susceptible de la más alta de las protecciones.
  3. Aparece en escena un delegado de la protección de datos, muy similar al anterior responsable de seguridad, pero con más obligaciones, más presencia y, por lo tanto, más responsabilidad.

 

Guardar

Contacta con nosotros

Guardar

Guardar