LOPD y LSSI para una web, blog o tienda online
Estás pensando en crear un blog, una web, una tienda online… Probablemente te vayas dando cuenta de que hay gran cantidad de cosas en las que pensar, que probablemente desconocías o no te imaginabas. Si buscas un profesional, el ya las tendrá en cuenta por ti, pero si lo haces tú solo, quizá esta información pueda resultarte muy útil de cara implementar aspectos legales y de seguridad a los que estás obligado/a.
Ofrecer confianza y seguridad a tus visitantes
Una vez que te sumerges en este maravilloso mundo de Internet y creas cualquier tipo de proyecto web deberás cumplir escrupulosamente con la Ley de protección de datos (LOPD). Si tu proyecto es una tienda online, además deberás cumplir con la LSSI (Ley de servicios de la Sociedad de la información y Comercio electrónico) y en función de tu tipo de contenido, tal vez debas fijarte también en la Ley de propiedad intelectual.
Pero además de cumplir con la Ley debemos utilizar el sentido común. Éste, nos dice que cuando visitamos cualquier web nos gusta que nos traten con seriedad y seguridad. ¿a que si?. Bueno, pues nuestros visitantes, esperan exactamente lo mismo.
Por ejemplo, para una tienda online, es crucial que sus visitantes se sientan cómodos, protegidos y si realizan una compra, lo hagan con la tranquilidad de saber que sus datos están protegidos y serán tratados con la seguridad necesaria.
Para tu seguridad y la de tus visitantes, es necesario que se incluyan los avisos legales, políticas de privacidad y de cookies, y todo aquello que tenga que ver con tu actividad, si te dedicas al comercio electrónico.
En Internet existen mucha muchas plantillas de avisos legales, políticas de privacidad, de cookies, etc, pero copiar y pegar textos para estar aparentemente dentro de la ley, no significa que cumplas con la misma. No hay demasiada conciencia sobre esto y legado el caso, si hay un problema al respecto con la LOPD, las sanciones pueden ser estupendas.
Por eso, mi primera recomendación, es que además de buscar en internet, te asesores con un profesional, porque esta es una de esas cosas de las que nunca nos acordamos hasta que ya es demasiado tarde.
Contents
LOPD – Ley de protección de datos
Prácticamente cualquier web o blog está sujeta a la LOPD. Si es una tienda online, ni te cuento!!!.
Lo que la LOPD pretende es proteger los datos personales de los usuarios que interactúan con la web.
Si utilizamos formularios, presupuestos, comentarios, newsletters o registros de usuarios, ya estamos dentro de la LOPD en lo que se llama un perfil bajo de seguridad. Igualmente en una tienda online, donde los datos recabados para realizar una compra son sensibles: Nombre, apellidos, dirección, teléfono, DNI… es obligación del propietario de la web proteger esos datos de igual manera que protege los suyos. Si recoges datos de salud, orientación sexual, datos médicos, de afiliación entonces quedas englobado en un perfil alto de seguridad. El nivel medio de seguridad está previsto para Entidades financieras y administraciones públicas.
La LOPD indica que todos estos datos personales se guarden en ficheros y bases de datos que deben estar debidamente protegidas y de las cuales es responsable el propietario de la web. Su incumplimiento puede implicar sanciones de hasta 600.000€.
Para cumplir con la LOPD lo primero que hay que hacer es dar de alta estos ficheros en la AEPD (Agencia Española de Protección de datos) y crear un documento de seguridad acorde al perfil en el que nos engloben. Puedes hacerlo telemáticamente en su web, pero ya te digo que es un proceso bastante engorroso. En cualquier caso, es una posibilidad que tienes si no quieres recurrir a un profesional o empresa especializada.
La LOPD dispone que el responsable del fichero debe adoptar las medidas de seguridad técnicas y organizativas que garanticen que los datos de carácter personal no podrán ser alterados, perdidos o que existan accesos no autorizados a los mismos.
Deja claro que constituye una infracción grave el mantener los ficheros, locales, programas o equipos que contengan dichos datos sin las debidas condiciones de seguridad.
La ley indica que es necesario mantener la seguridad, intimidad personal y familiar, preservar el honor y el pleno ejercicio a los derechos personales que le asisten si algo de esto ocurre y si lo piensas, esto es muy lógico.
¿Cómo se deben recopilar los datos los datos?
La LOPD exige que los interesados a los que se les soliciten datos, deben ser previamente informados de modo expreso, preciso e inequívoco.
Por eso cuando tienes un formulario de contacto, un apartado de comentarios en el blog, cuando se registran o crean una cuenta en la web y evidentemente cuando hacen una compra, debes indicar claramente todo lo relativo al artículo 5.
Igualmente hay que indicar como van a ser tratados esos datos y si serán cedidos a terceros, en cuyo caso, necesitas la autorización expresa del interesado.
En función de los tipos de datos que vayas a recoger, debes implementar unas medidas de seguridad de nivel básico, medio o alto.
Mientras los datos sean los “normales”, nombre, apellidos, mail, etc, estarás en un nivel básico.
El nivel medio se aplica generalmente a Administraciones Tributarias, Seguridad Social, Entidades financieras, etc.
El nivel alto se aplica generalmente a ficheros con tratamiento de datos que incluyan Ideología, Religión, afiliación sindical, creencias, salud o vida sexual y respecto a los que no se prevea la posibilidad de adoptar un nivel básico. También a los recabados con fines policiales sin consentimiento de las personas afectadas y a los derivados por violencia de género.
Tu relación con los proveedores
Algo que hay que destacar es tu relación con tus proveedores. Verás, ellos también deben cumplir con la LOPD, porque de no ser así, tú también asumes la responsabilidad. Dicho de otra manera, si por ejemplo utilizas una empresa para enviar Newsletters, vas a compartir información de tus suscriptores (nombre y email), ya que van a dirigir los mails a ellos facilitándoles tú esos datos. Bien, pues si tu proveedor no cumple con los aspectos legales y seguridad de la LOPD, tú eres el responsable.
Documento de Seguridad de la LOPD
No te voy a engañar…. El documento de seguridad es un dolor de cabeza y los requisitos a rellenar pueden resultar a priori excesivos e incluso en ocasiones pueden no entenderse, pero con el tiempo, particularmente acabo por darles la razón. Hoy en día toda medida de seguridad es poca. Si trabajas solo/a tu tienes las cosas bajo control, pero ¿y si trabajan otras personas contigo?. En una empresa la información está en manos de muchas personas, no digamos las medianas y grandes empresas…. Aqui nos estamos centrando en la web, pero cualquier empresa, tenga o no web, debe cumplir igualmente con la LOPD.
Cuando das de alta tu web en la LOPD, se crea un documento de seguridad en el que se tienen en cuenta diferentes factores.
– Relación de ficheros
– Centros de tratamiento y puestos de trabajo
– Entornos del sistema operativo
– Soporte de almacenamiento
– Personal
– Centros de tratamiento y locales
– Régimen de trabajo fuera de los locales
– Régimen de trabajo en dispositivos portátiles
– Puestos de trabajo
– Aplicaciones de Acceso al fichero
– Bases de datos, ficheros o archivos ofimáticos
– Funciones y obligaciones del personal
– Medidas y operaciones estándares
– Criterios de archivo y custodia
– Gestión de incidencias
– Gestión de soportes y documentación
– Entrada y salida de soportes
– Procedimientos de respaldo /recuperación
– Controles periódicos de verificación de cumplimiento
Ten muy presente que si tienes personal o colaboradores que tengan acceso a estos datos de alguna manera, deben ser informados e incluidos en tu documento de seguridad y deben firmar conforme han recibido la información del documento de seguridad. Y no valdrá el “Yo no sabía…”
Para poder saber exactamente que considera esta ley como infracción, leve, grave o muy grave puedes consultar en el BOE la Ley orgánica 15/1999 de 13 de Diciembre, de protección de Datos de carácter personal.
Ley de Servicios de la Sociedad de la Información y de comercio electrónico LSSI
Esta ley afecta directamente a empresas y autónomos con una web dedicada al comercio electrónico que ofrezca productos y/o servicios.
Comprar productos y contratar servicios vía electrónica
No es lo mismo vender productos que servicios. Dicho de una manera rápida, cuando vendes un producto, el objetivo final es que ese producto llegue a la dirección del cliente y por supuesto cumpla con las características anunciadas y se encuentre en las condiciones correctas. Si es así, todo termina ahí.
Sin embargo, cuando ofrecemos servicios y especialmente cuando los mismos se alargan en el tiempo, es necesario especificar como funciona el proceso de contratación y como es la relación de la empresa que presta el servicio con el cliente durante el tiempo del contrato (SLA).
Hoy por hoy, jurídicamente, es igual comprar algo en una tienda online que en un comercio convencional. El comprador está muy protegido y las condiciones de venta han de ser claras, concisas e inequívocas. Salvo excepciones el comprador dispone de un derecho de desistimiento, lo cual le permite devolver un producto en un plazo de tiempo si no está satisfecho por cualquier motivo con su compra.
Condiciones de contratación
Debe existir total transparencia en la venta de los artículos o servicios. Debe quedar claro como es el proceso de compra, formas de pago, formas de envío…. También los impuestos que se aplican, costes de los portes (si existen), quien asume el coste de devolución según que casos, si se establece cualquier tipo de cargo adicional por un motivo específico, fees de pago electrónico…..
En resumen, los aspectos más importantes que debes cumplir con esta ley serían:
En nuestra web debe aparecer la siguiente información: Denominación social, NIF, domicilio social, correo electrónico de contacto y datos de inscripción registral (si procede).
Si existen incluiremos los códigos de conducta a los que estemos adheridos, los datos de colegiación o título académico y en caso de que sea requerido para ejercer, debemos indicar el país de expedición.
Si vendemos productos o servicios a través de Internet, la web debe contener los precios de los productos especificando impuestos y gastos de envío.
Si nuestra página web utiliza cookies propias debemos pedir el consentimiento del usuario para poder instalarlas en su equipo, además de informar en caso de utilizar cookies de terceros.
Si enviamos publicidad por correo electrónico, los correos deberán estar claramente identificados como publicidad.
Adicionalmente, si tenemos una página web a través de la cual se permita la contratación online, debemos también informar de los siguientes puntos, previamente al contrato:
Los trámites a seguir por el usuario para «celebrar» el contrato.
Si almacenaremos el documento electrónico y si estará disponible posteriormente para su descarga por parte de nuestro cliente.
Los medios técnicos disponibles para corregir datos erróneos durante la contratación.
Los idiomas en las que podrá formalizarse el contrato.
Las condiciones generales a que debe sujetarse el contrato.
Ley de propiedad Intelectual
Regula el marco de protección de la propiedad intelectual de creación de obras, literarias, científicas o artísticas. Pero como esto está continuamente en evolución es una ley que se va ampliando con frecuencia e incluye los aspectos tecnológicos que implican la copia ilegal y la distribución en masa de programas informáticos, música, películas, etc.
Te recomendamos encarecidamente que visites INCIBE. Es el Instituto nacional de las tecnologías de la comunicación. De aquí he recopilado alguna información y tendrás gran cantidad de recursos que te resultarán de gran utilidad.
Te dejamos algunos enlaces directos de recursos que pensamos te pueden ayudar:
Modelo de documento de seguridad de la LOPD
Empresas especializadas en materia de Ciberseguridad
Si te ha gustado este artículo, te agradezco enormemente que me ayudes a crecer. Compártelo con otras personas.
Deja tu comentario