Tratamiento de datos a través de páginas web

4083

Dentro de la sección de Informes Jurídicos de la web de la Agencia Española de Protección de Datos (AEPD) existe uno específico sobre tratamiento de datos a través de páginas web. En resumen viene a decir que en el caso de recogida de datos básicos es suficiente incluir en un formulario un enlace del tipo Aviso Legal o Política de Privacidad, pero que en el caso de datos especialmente protegidos el consentimiento ha de ser inequívoco.

El deber de información al afectado aparece regulado en la Ley Orgánica de Protección de Dtaos (LOPD) por su artículo 5, cuyo apartado 1, aplicable al supuesto de recogida de datos del propio afectado, establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos, de los destinatarios de la información, del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, y de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

El consentimiento, salvo cuando el tratamiento se refiera a los datos especialmente protegidos, regulados por el artículo 7 de la Ley Orgánica, podrá obtenerse de forma expresa o tácita, es decir, tanto como consecuencia de una afirmación específica del afectado en ese sentido, como mediante la falta de una manifestación contraria al tratamiento, para la que se hayan concedido mecanismos de fácil adopción por el afectado y un tiempo prudencial para dar la mencionada respuesta negativa.

En el supuesto de que la recogida de datos se realice a través de una página web, las obligaciones a las que acabamos de referirnos, suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o “política de protección”. También es importante incluir algún tipo de “link” de este tipo en relación con los derechos de los interesados de rectificación, cancelación, acceso y oposición.

En cuanto al consentimiento informado, este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco tal y como exige la Ley.

Descarga informe PDF

Tratamiento de datos a través de páginas web
Vota este artículo

31 Comentarios

  1. En el informe pagina 3 dice: “Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.”

    No acabo de tener claro si los datos son de nivel basico, es necesario cifrar la conexion uso de https, o simplemente con http es necesario????

    Muchas gracias

  2. Muchas gracias Jesús por tu respuesta.

    Me gustaría contar con tu opinión en este punto, no crees que resulta un poco curioso, que los datos de contacto puedan viajar en claro por la red y por lo tanto puedan ser accedidos por terceros.

    Y que pasa con al articulo 9 de la LOPD, cuando afirma que el responsable del fichero deberá adoptar medidas que eviten el acceso no autorizado.

    Gracias de nuevo por tu ayuda!

    • Hola Pep: con datos con nivel de seguridad básico tampoco sería muy grave si alguien accede, pero en cualquier caso estos son cosas del legislador, y la LOPD y su reglamento tiene muchos apartados discutibles, pero ya sabes, las leyes hay que cumplirlas como son, te parezcan lo que te parezcan.

  3. Si 3 autónomos ofrecen sus servicios a través de una página web. En el formulario de contacto, al redactar una política de privacidad, cuando hay q señalar la identidad y responsable del tratamiento, ¿se podrían poner los3 autónomos y la dirección de uno de ellos?. ¿O el responsable del fichero tiene q ser individual: un autónomo, una empresa…?
    Ya que todos ellos tienen acceso al fichero donde se van a almacenar esos datos y son todos igualmente responsables.

  4. Hola, venía a esta página buscando información precisamente para este tema.

    Soy desarrollador web amateur y estoy creando la web de información de un negocio. En dicha web he incluído un apartado de comentarios de clientes, en el que, si lo desean, pueden dejar su comentario/opinión sobre el negocio. Dicho apartado consta de dos campos a rellenar: comentario y nombre.

    Si pido un nombre, aunque no especifique que sea nombre completo, ni siquiera nombre real (realmente sin especificar nada), ¿debo cumplir el negocio la LOPD y registrarse por ello? ¿Debería cumplirla si se especifica que no tiene por qué ser el nombre completo, un nombre real, sino que se admite un nick, alias o “mote” o a decisión del cliente? Si hago el campo opcional y así lo especifico, ¿debo cumplir la ley?

    En resumen, un simple nombre, sin ser nombre completo obligatoriamente, ¿te obliga a cumplir y registrarte con la ley?

    Una segunda pregunta, si me lo permitís, en el campo de opinión/comentario puede escribir el cliente lo que desee. Si deja, voluntariamente y sin pedírselo, algún tipo de información personal, ya sea su nombre, edad, población, sexo, etc., de motu propio y englobado en su comentario, ¿eso de por sí me haría tener que cumplir la LOPD en caso de que un cliente escribiera datos personales en su comentario?

    Muchas gracias.

    • Hola Konigdermasai: habría mucho que comentar al respecto, ten en cuenta que al entrar en el mundo web no sólo tienes LOPD, también LSSI, y que aunque en algunos casos se pueda evitar cumplir la LOPD quizás no convenga porque entonces no puedes recoger datos personales, etc…

      Pero en cualquier caso: si me dices que es un apartado para clientes, implica que la LOPD ya hay que cumplirla con lo que no tiene sentido la duda.

      Sobre los comentarios y su contenido, ahí sí que entra a tope la LSSI y ya que sobre el asunto ha habido diferentes sentencias acerca de la posible responsabilidad del administrador, yo francamente no lo permitiría y si alguien lo hace se lo borro.

  5. Hola Jeús,

    Gracias por responder. Quería aclarar mi dilema para asegurarme de que ha quedado claro y despejar todas mis dudas.

    El apartado de dicha web sería similar a éste que usamos en esta web para escribir comentarios, con las diferencias de que se pediría nombre (opcional) y comentario. ¿Ello obliga a cumplir la LOPD? ¿Un nombre corto (simplemente “Juan”, p. ej.), incluso cuando no es requerido o no se especifica que sea un nombre real y completo, obliga a cumplir la LOPD?

    Sobre tu último comentario, me parece muy importante y me gustaría pedir información adicional sobre esas sentencias, si fuera breve de comentar o tuvieras ya entradas escritas sobre ello.

    Gracias.

  6. Hola. Soy autónomo y estoy preparando una página web para vender mis productos. He enviado ya el formulario para inscribir los ficheros con los datos de los clientes, pero me surge una duda: para hacer la cesta de la compra he usado la plataforma Mal’s e-commerce, que te permite integrar una cesta de la compra de manera fácil registrándote en su web y gestionando todo online desde su web. En este caso, cuando un cliente hace una compra la cesta de la compra se gestiona a través de ellos (de hecho, cuando se abre la página para realizar el proceso de compra ya sale abajo un enlace a su página y se indica que la cesta la gestionan ellos); ellos recogen los datos y envían un correo informando del pedido. En su web, dicen acerca de los datos que guardan de los clientes: “No guardamos los datos del cliente más allá de para hacer una copia de seguridad de la base de datos activa que se hace por razones puramente operativas. Los datos del cliente pertenece al comerciante, no a Mal e-commerce Limited, que simplemente los almacena temporalmente para usted en sus discos duros. No existen circunstancias bajo las cuales se transmiten los datos del cliente a cualquier persona que no sea el comerciante al que pertenece”. En este caso ¿hay que indicarlo de algún modo en los formularios?, ¿o simplemente se podría poner en la web, por ejemplo, una cláusula en el aviso legal que indique que la cesta de la compra está hecha a través de esta empresa y que cuando el cliente compra consiente que los datos se tramitarán a Mals e-commerce (e indicar que ellos solo los almacenan temporalmente, pero no los usan, etc.)? Gracias!

    • Carlos: imposible responder sin hacer un análisis mucho mas complejo y ver la documentación. La clave sería revisar el contrato o las condiciones legales de esa empresa, ver si cumple con las condiciones legales LOPD para el tratamiento, saber si esa empresa es europea o al menos sus servidores están en un país de los considerados de “legislación equivalente”, etc…
      Excede con mucho las posibilidades de un comentario.

  7. Estoy preparando un formulario web para recopilar datos y no voy a utilizar ninguna base de datos en el Hosting .El usuario cuando dé a mandar, a través de un script ubicado en el hosting enviará un correo con los datos a nuestra dirección de correo electrónico .
    Tenemos dado de alta el fichero en la AGPD y tenemos la cláusula de privacidad.
    Quisiera sabe si con esto me salto la obligatoriedad de realizar un contrato de encargado de tratamiento con el Hosting ya que no se almacenarían los datos personales en el hosting, que es lo que quiero evitarme.

    A parte de esto observando tu blog, veo que no cumples lo que dice el artículo, aunque puede que no lo esté interpretando bien, ya que no he encontrado ninguna referencia al deber de información:
    De la existencia de un fichero o tratamiento de datos de carácter personal
    De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

  8. Entiendo que hay un tratamiento, pero lo que me queda duda es que si existe un encargado de tratamiento.
    Si yo tuviera un blog, con base de datos y almacenara en esa base de datos ubicada en el Hosting datos personales, debería de hacer un contrato de encargado de tratamiento con la empresa del hosting.
    Pero si el formulario lo que hace es enviarme un correo y no almacena nada en el Hosting.
    ¿ no se debería de hacer un contrato de encargado de tratamiento?

    Gracias.-
    No había leído esa parte del aviso legal.

    • Jesús: de verdad, no intentes aplicar la lógica a esto, es una ley y son los criterios de la AEPD. ¿Tu crees por ejemplo que una IP es un dato de carácter personal? A mí me parece absurdo, pero… la AEPD dice que sí y en función de ese criterio debemos actuar, y si alguien me pregunta le tengo que decir que una serie de IPs conforman un fichero y deben declararse en el Registro.

      Si hay tratamiento, hay encargado del tratamiento, son conceptos que van indisolublemente unidos.

  9. Hola Jesús, tengo en mente hacer una web que sea un directorio de empresas, al estilo páginas amarillas. Básicamente quien quiera puede registrarse y poner los datos de contacto de su empresa, para que los visitantes usando un buscador les encuentren. ¿Donde puedo ver que aspectos de la LOPD tengo que cumplir en este casos?

    La empresa que quiera, además, podrá aparecer la primera en los listados de búsqueda pagando un módico precio. Entiendo que esto ya hace referencia a la LSSI, ¿no?

    Gracias.

    • Gerardo: haría falta un estudio más concreto para responder al 100%. Dependerá de qué clase de datos se recopilen. La LOPD se refiere a datos personales, los empresariales quedan excluidos. El problema está en los terrenos intermedios: profesionales autónomos cuya “marca” es su mismo nombre personal o incluso la dirección profesional su mismo domicilio, saber si un teléfono móvil es de tipo empresarial o personal, etc…
      Y sí, también se debería cumplir la LSSI.

  10. Gracias Jesús, esto quiere decir que si se registra un autónomo cuya “marca” es su mismo nombre personal y cuya dirección (un despacho profesional en su casa) es su propio domicilio, habría que cumplir con la LOPD, ante la duda, ¿no?.

    No obstante, buscando por internet tras su comentario, comento como anécdota que ha dado con una web que funciona como directorio de abogados y que no hace referencia a la LOPD en su aviso legal, imagino que basándose en el hecho comentado de que todo abogado que se registre en la página, aún poniendo su nombre, dirección y teléfono, lo hace como autónomo y nunca a nivel personal.

  11. Bueno, vuelvo para comentar un dato que me parece curioso. No he dado con una sola web que sea directorio de empresas que no tenga un fichero de datos personales inscrito en la AGPD. No lo entiendo, y eso que en muchas de ellas se ve claro que solo hay autónomos o empresas, nada de personas físicas. ¿Es acaso ninguna está bien informada? Para rematar la faena he llamado a la AGPD y me han confirmado que ciertamente, me olvide de la LOPD si mi directorio es de empresas y autónomos, pero tal y como les he hecho saber, no he sido capaz de dar con una sola página web de directorios de empresas que se haya olvidado de la LOPD y no ha sabido darme respuesta. ¿Miedo quizá por parte de los administradores? ¿Desconocimiento? ¿Ninguno ha contactado con un abogado para hacer el Aviso Legal?

    • Gerardo: tal y como decía en otro comentario, sí pueden verse afectados por la LOPD y por eso el alta es correcta. Sobre llamadas a la AEPD habría mucho que contar, en una llamada no se pueden analizar todas las opciones y los funcionarios hablan al teléfono sin ninguna responsabilidad sobre lo que dicen. Ya hay alguna resolución sancionadora donde el denunciado alega que la AEPD le dijo esto o aquello por teléfono, pero en un procedimeinto sancionador eso nunca se va a tener en cuenta.
      Como el tema tiene sus vueltas y es difícil aclarar en un comentario, voy a publicar yn post sobre la materia que saldrá la semana próxima. Cuando esté publicado aviso en un comentario aquí.

  12. Buenas Jesús,

    Buscando información he leído varios de tus post, que me han parecido realmente clarificadores. Pero tengo una duda que no consigo resolver.

    Te comento… tengo una página web en la que he incluido un chat online de una empresa externa. Esta empresa puede acceder a los datos del chat y está en Singapore (incluidos sus servidores).

    En mi política de privacidad doy esta información a mis usuarios, es decir, que al usar el chat están prestando su consentimiento para que se cedan los datos a esta empresa y que exista una transferencia internacional de datos. Así como un enlace a la política de privacidad de esta empresa externa, donde se indica a que datos acceden y qué hacen con ellos.

    He hablado con la empresa y no firman ningún contrato, por lo que no habría otra posibilidad.

    Hecho así, ¿estaría conforme a la legislación española?? o esto me podría dar problemas?

    muchas gracias!

  13. ¿Cuándo el usuario da su consentimiento inequívoco sigue siendo necesaria autorización de la Agencia?
    El artículo 34 lo excluye: “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.”
    Por lo que, con carácter general, dando todos los datos de la empresa, identificación, etc. e impidiendo utilizar el chat si no se acepta la política de privacidad… ¿no sería suficiente?

    • OK Beatriz, lo de “impidiendo utilizar el chat si no se acepta la política de privacidad” cambia la situación.
      El tema es que como bien citas el art. 34 exige “consentimiento inequívoco”, que es dudoso que pueda ser considerado como tal cuando como es habitual la situación es de un enlace a la política de privacidad sin mas. Pero si existe un mecanismo que impide usar el chat hasta que haya un acción específica aceptando, entonces sería aceptable.

Dejar respuesta