¿Es tu web legal? Adáptala a la normativa de protección de datos y privacidad
Cualquier web debe cumplir la legislación vigente en materia de protección de datos y privacidad. La mayoría de los sitios web no cumplen al 100% con esta legislación. Por ello la Agencia Española de Protección de Datos (AEPD) impone sanciones casi a diario.
Un pensamiento típico con el que me enfrento a menudo es que por tener una web de un pequeño negocio no va a pasar nada, eso de las sanciones son para empresas y sitios web más grandes. Nada más lejos de la realidad. Como puede verse en la página de informes y resoluciones de la AEPD, hay infinidad de procedimientos sancionadores a sitios web de todo tipo y tamaño, pudiendo ir desde los 600€ hasta los 60.000€.
Legislación vigente
Un sitio web debería cumplir, al menos, con lo previsto en:
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE)
Voy a tratar de exponer claramente lo que estas leyes implican para cualquier web en cuestiones relativas a los textos legales, tratamiento de cookies y la recogida de datos.
Textos legales
Una web debería tener bien definidos los siguientes textos y políticas:
- Aviso legal
- Política de privacidad
- Política de cookies
Si se trata de una tienda online o una web en la que el usuario puede contratar un producto o servicio, habría que especificar además los términos de contratación o de venta.
Estos textos legales deberían estar fácilmente accesibles (habitualmente en el pie del sitio web), emplear un lenguaje claro y estar perfectamente estructurados. No sería válido por ejemplo un texto de aviso legal que incluya o mezcle varias de las políticas.
Cada uno de estos textos deberían indicar la fecha en la que fueron modificados por última vez, así como la versión de los mismos.
Vamos a indicar la información y los contenidos a incluir, como mínimo, en cada texto legal.
Aviso legal
- Responsable legal: se debe indicar el titular y responsable legal del sitio web, junto a sus datos identificativos.
- Objeto y aceptación: el propósito de las condiciones presentes y las implicaciones y aceptaciones al que está sometido el usuario que visite o haga uso del presente sitio web.
- Condiciones de acceso y utilización: se especifican aspectos como que el usuario se compromete a facilitar información verídica, a no hacer un uso fraudulento, a no llevar a cabo ninguna conducta que dañe la imagen o los intereses tanto del titular como de otros usuarios, etc.
- Política de protección de datos y privacidad: se indica al usuario con la legislación que se cumple en esta materia, y se le emplaza (mediante enlaces) a visitar la política de privacidad y de cookies para ampliar información.
- Derechos de propiedad industrial e intelectual: se informa al usuario de que elementos del sitio web están sujetos y protegidos por estos derechos (contenidos, imágenes, ilustraciones, iconos, estructura, diseño…), si se ceden al usuario o no estos derechos, o parte de ellos.
- Ley aplicable y jurisdicción: se indica la legislación por la que se rige el presente sitio web, y la jurisdicción de los juzgados y tribunales a los que someterse en caso de controversia entre el usuario y el titular de la web.
Política de privacidad
- Información básica de protección de datos: información resumida sobre quien es el responsable del tratamiento de los datos, la finalidad y la legitimación de la recogida de datos, los destinatarios de los datos personales, los derechos que asisten al usuario en esta materia, e información adicional, donde simplemente se emplaza al usuario a leer la política completa.
- Responsable del tratamiento de los datos: datos identificativos de la persona o entidad encargada de recoger, almacenar y utilizar los datos personales de los usuarios.
- Finalidad o uso de los datos personales: el motivo por el que se recogen los datos, que uso se va a hacer de ellos, así como por qué medios se van a recoger (formulario de contacto, de suscripción a boletín, etc.) y si se recogen datos especialmente protegidos (como por ejemplo datos relativos a la salud).
- Legitimación para el tratamiento de los datos: se especifica cual es la base legal para recoger y tratar los datos personales.
- Por cuanto tiempo se conservarán los datos: no solo de los datos recabados, sino de los datos almacenados en cookies. Para estos últimos emplazar a leer la política de cookies.
- Cesión o destinatario de los datos: habrá que informar de la empresa de alojamiento (hosting) que almacenará los datos, o de todo servicio externo que aloje información recabada por nuestra web, como pudiera ser el caso de servicios de analítica y medición, o de gestión de boletines (newsletters), por ejemplo, que suelen almacenar las direcciones de e-mail en sus propios servidores.
- Derechos que le asisten y como ejercitarlos: enumerar todos los derechos y como poder contactar con el responsable de protección de datos para ejercitar alguno de estos derechos. Las vías habituales son por correo electrónico o correo postal.
Política de cookies
- Definición de cookies: explicar al usuario que es una cookie.
- Tipos de cookies: indicar los tipos de cookies que existen según quien las genere (propias o de terceros), su duración (de sesión o permanentes), y su finalidad (técnicas, de personalización, analíticas, de publicidad/comportamentales, y de afiliados).
- Tipos de cookies empleadas: indicar los tipos de cookies que se usan en nuestro sitio web. En el caso de las cookies de terceros hacer referencia a las empresas o titulares de dichas cookies, así como a sus políticas de cookies.
- Gestión y configuración de cookies: explicar como poder gestionar o bloquear las cookies para los navegadores más extendidos del mercado (Chrome, Internet Exploer, Firefox, Safari, Opera…)
- Se podrá añadir un apartado para que el usuario pueda ampliar información sobre cookies. Por ejemplo, podríamos enlazar a la “Guía sobre el uso de las cookies” de la propia AEPD.
Términos de contratación (o de venta)
Se debería informar al menos de los siguientes aspectos:
- Proceso o procedimiento de contratación.
- En caso de vender servicios, detallar en qué consisten diferentes tipos de servicios ofrecidos.
- Vigencia de los precios.
- Formas de pago aceptadas.
- Política de envíos y plazos de entrega.
- Devoluciones y cancelaciones: informar sobre el derecho de desistimiento.
- Normativa aplicable y resolución de conflictos.
Tratamiento de cookies
En muchos sitios web se pone un mensaje de aviso ambiguo sobre la utilización de cookies. Del mismo modo se instalan las cookies en el navegador del usuario antes de que éste las apruebe o rechace.
Desde el 31 de octubre del 2020 estos comportamientos son ilegales y nos pueden sancionar por ello. Seguir navegando por la web ya no es un motivo válido de aceptación de cookies, el usuario debe aceptarlas expresamente.
Si quieres evitar sanciones por el tratamiento de las cookies, tu web debería mostrar un aviso nada más acceder a la misma indicando claramente si se usan cookies de terceros y la finalidad de las mismas. Deberás bloquear la instalación de toda cookie hasta que el usuario las acepte, y permitirle que pueda revocar su consentimiento. Y por supuesto, contar con una política de cookies adecuada.
Ejemplo de mensaje con un aviso claro del uso de cookies de terceros y su finalidad:
Recogida de datos (formularios)
En cualquier web es habitual contar con algún formulario de contacto o de suscripción a una newsletter, son los casos más típicos.
A la hora de recoger información privada de un usuario mediante cualquier formulario, deberás:
- Forzar a que el usuario declare, mediante una casilla de verificación, haber leído y aceptado la política de privacidad.
- Mostrar una capa de información básica sobre el tratamiento de datos personales justo debajo del formulario (ver imagen de ejemplo a continuación).
- Que cada casilla de verificación sirva a un fin concreto. Por ejemplo, no puedes usar una misma casilla para que el usuario acepte la política de privacidad, y a la vez, sirva para que acepte recibir información comercial.
- Guardar en base de datos (o bien mantener una copia del correo) de cada envío de formulario, donde se refleje además que el usuario marcó la casilla de aceptar la política. De cara a una reclamación, la AEPD nos exigirá demostrar que el usuario aceptó la política de privacidad.
Ejemplo de capa básica de información de protección de datos en un formulario
Adaptando tu web a la legalidad
Puedes indicar las directrices vistas hasta el momento a tu departamento informático o proveedor tecnológico para que adapte formularios, avisos y bloqueos de cookies…
La parte más sensible sea quizás la correcta redacción de los textos legales. Es fácil dejar atrás algún aspecto importante que debería incluirse en alguno de ellos.
Si necesitas ayuda con ello, un recurso interesante y de bajo coste son los kits legales de Marina Brocca, consultora de protección de datos en negocios digitales, que ha diseñado plantillas con la información y documentos legales para los tipos de sitios webs más habituales (web corporativa, tienda online, academia online, sitios de afiliados…).
Si tu sitio tiene algunas particularidades, o quieres una consultoría personalizada y elaboren tus textos legales a medida, puedes recurrir a consultoras canarias como Aixa Corpore, DataSeg o profesionales independientes como la propia Marina Brocca.
Artículos Relacionados
- ¿Cómo vender más en internet? El viaje del cliente y sus intenciones de búsqueda
- El comercio electrónico en tiempos de coronavirus. ¿Qué ha cambiado y cómo afrontar el futuro?
- El posicionamiento en buscadores como herramienta para la internacionalización empresarial
Sobre el Autor
Rayco Jorge
Ingeniero en informática vinculado desde muy joven al mundo de internet y al posicionamiento SEO con diversos proyectos propios.
Sus primeros trabajos profesionales fueron para compañías reconocidas de Canarias, como Libbys, CajaCanarias, Chafiras, Sagrera Canarias, Titsa, entre otras. Pronto pasó a ser una de las personas encargadas de mantener y mejorar el front-end de la banca electrónica de CajaCanarias (La Caja en Casa), antes de convertirse en Banca Cívica y posteriormente ser adquirida por LaCaixa.
En sus más de 15 años de experiencia ha desarrollado e implantado diversos tipos de aplicaciones en la nube, tales como sistemas de reservas hoteleras, de transporte terrestre (cooperativa de taxis), líneas aéreas (Islas Airways), aplicaciones de gestión a medida, así como soluciones de ticketing, control de acceso y aforos.
En la actualidad se centra en proyectos de desarrollo web, posicionamiento en buscadores (SEO) y optimización de páginas (WPO) en Nimbo Software.
Colabora en la temática de Marketing y Ventas.