La AEPD nos indica que las páginas web en España no cumplen la LOPDGDD ni el RGPD.

¿Has colocado en tu página web información acerca del nombre de tu empresa, dirección social, registro mercantil, etc..?

¿Has informado a tus clientes acerca de la divulgación o compartición de sus datos y facilitado opciones para consultarlos, cambiarlos o destruirlos?

¿Informas en tu web del propósito de dicha recopilación de datos personales?

¿Envías a tus clientes e-mails comerciales sin que ellos te hayan dado su consentimiento expreso?

Así es como debes cumplir la normativa de Protección de Datos en tu web.

Adaptación de páginas web a la LOPDGDD

Hace unos días se ha aprobado la ley que adapta en España el RGPD, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

En esta ley se regulan los requisitos que deben cumplir las páginas web en materia de protección de datos. Entre ellos,

  • Cómo informar sobre quién trata los datos
  • Con qué finalidad
  • Qué base legal legitima el tratamiento
  • Cuánto tiempo se conservan los datos
  • Derechos de los usuarios y cómo ejercerlos
  • Si los datos se van a ceder a terceros
  • Si se toman decisiones automatizadas o si se van a realizar transferencias internacionales, etc.

A continuación te resumo los principales puntos a tener en cuenta.

1. Información del responsable de la web

Debe informarse sobre la identidad y datos de contacto del responsable del tratamiento de datos personales y su representante, junto con los datos de contacto del Delegado de Protección de Datos (DPD), si dispone de uno.

Para ponerse en contacto con el responsable del tratamiento o el DPD, lo más adecuado es proporcionar una dirección de correo electrónico o habilitar un formulario electrónico.

2. Legitimación del tratamiento

Aparte de indicar las finalidades del tratamiento de los datos personales del interesado, también informaremos sobre cuál es la base jurídica que legitima cada actividad de tratamiento.

En este sentido, cuando el tratamiento de los datos se base en la satisfacción de intereses legítimos, debe indicarse también cuáles son, sin que sea suficiente una mención genérica al “interés legítimo” o el uso de una fórmula abstracta.

3. Consentimiento

En el formulario de recogida de datos es obligatorio incluir una solicitud de consentimiento. La misma se diferenciará del resto de la relación del interesado con el responsable del tratamiento.

No es suficiente que se acepte en conjunto las condiciones de la política de privacidad.

No olvides que las casillas ya marcadas, el silencio o la inacción no se consideran consentimiento. Hay que poder marcar una casilla en blanco (o similar) para cada finalidad de tratamiento, si bien se pueden agrupar en propósitos afines. Deberá ser tan fácil retirar el consentimiento como darlo.

4. Plazo de conservación

Es necesario informar de manera clara sobre el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar ese plazo.

El interesado debe tener una idea aproximada del plazo de conservación establecido por la legislación. Tienes que indicar la normativa aplicable, o dar información que le permita conocer y calcular por cuánto tiempo los datos personales del interesado serán conservados.

5. Derechos del interesado

La AEPD recuerda también que se debe informar al interesado sobre la existencia de sus derechos.

Para poder ejercitarlos se recomienda facilitar una dirección de correo electrónico o un formulario electrónico. Sería deseable que se explique en qué consiste cada derecho y el procedimiento para su ejercicio.

6. Cesión de datos

Asimismo, si el responsable tiene la intención de ceder los datos personales recogidos, debe detallar quiénes serán los destinatarios o las categorías de destinatarios de estos datos.

7. Obligación de facilitar los datos

Hay que informar al interesado de si tiene una obligación legal o contractual de facilitar los datos personales, o si es un requisito necesario para suscribir un contrato o si está obligado a facilitar sus datos personales.

Además, tienes que informar sobre las posibles consecuencias de no facilitar tales datos. Resulta insuficiente no poder completar la acción deseada si no se facilitan los datos personales solicitados.

8. Elaboración de perfiles

Si se adoptaran decisiones automatizadas, incluida la elaboración de perfiles, hay que informar de la existencia de estas decisiones y dar información clara y simple sobre la lógica aplicada. Y también sobre los efectos previstos y la importancia de este tratamiento para el interesado.

9. Transferencias internacionales

Si existe la intención de transferir datos personales a terceros países, debes informar al interesado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.

No vale utilizar expresiones generales como “garantías adecuadas” y, además, debe explicarse el procedimiento para obtener una copia de estas o de que se prestaron.

10. Información clara y concisa

Por último, al interesado debe proporcionársele toda esa información de forma clara y concisa, teniendo en cuenta que el objetivo final es que el usuario pueda tomar decisiones informadas sobre la utilización de sus datos personales.

Para ello, se recomienda facilitarla en un único documento o en una misma ubicación dentro del sitio web y adoptar un modelo de información por capas o niveles, de tal manera que se presente al interesado una información básica reducida y una información adicional más detallada.

Si pides el consentimiento del interesado para el tratamiento de sus datos, debes añadir la información básica relativa a esta solicitud en el mismo formulario en que se obtenga este consentimiento.

Toda la información que facilites al interesado debe ser correcta y la extensión de las explicaciones debe ser proporcionada, para no desalentar su lectura y entendimiento por parte del afectado. Para ello, se recomienda también utilizar un tamaño de letra promedio y organizar la información en párrafos o apartados que faciliten su comprensión.

Otros consejos para cumplir la LOPDGDD

Como empresa debes además tomar las medidas adecuadas para proteger los datos personales de tus usuarios. Éstas varían en función de los profesionales que tengas en plantilla o del volumen de datos acumulados y su seguridad. Pero algunas recomendaciones genéricas serían:

  • Aplicar un sistema de pruebas de seguridad de los datos cada cierto tiempo.
  • Cifrar los datos personales de los usuarios.
  • Implementar procedimiento de recuperación de datos en caso de ataque o problemas tecnológicos.

Principales errores en Protección de datos de una página web

A partir del RGPD se ha producido un importante cambio en el concepto de seguridad de la información personal que tienen las empresas. Y también en la manera de recopilar los datos y consentimientos de los usuarios. Y esto ha influido enormemente en las páginas web de las empresas.

Después de 15 meses desde la entrada en vigor del RGPD, muchas empresas siguen sin tener sus páginas web adaptadas a esta normativa.

Normalmente, las empresas han centrado su adaptación a la ley de Protección de datos en otros ámbitos, como la obtención del consentimiento. Pero se han olvidado de otros también importantes. Uno de esos aspectos es la adecuación de sus páginas web a los requisitos del RGPD y LOPDGDD y las páginas web suelen tener importantes errores que pueden ocasionar sanciones para la empresa.

A continuación te explico cuáles son esos errores que se cometen en las páginas web.

Aceptación de cookies

Este es uno de los principales errores cometidos por las páginas web. Se exige una aceptación expresa por parte de los usuarios de las cookies usadas en el sitio web. Pero en la mayoría de las web permanece la opción de seguir navegando para otorgar el consentimiento. Y eso con la LOPDGDD no es suficiente.

Rechazo de cookies

Es muy difícil, en la mayoría de las webs, rechazar determinadas cookies. Estas normalmente se aceptan en bloque, sin diferenciar entre cookies de rastreo, analíticas o de otro tipo para rechazar las que queramos. Lo normal es que sea más fácil aceptar que rechazar esas cookies.

Finalidad de las cookies

En el texto del aviso de cookies deben indicarse claramente los fines para los que se instalan esas cookies. No es suficiente solo aceptar o rechazar las cookies.

Carga de seguir navegando

En la gran mayoría de las webs se entiende que el hecho de que el usuario continúe en la página supone la aceptación de la recopilación de sus datos personales. Pero el RGPD indica que ese consentimiento para recopilar datos personales debe ser expreso.

Complicadas políticas de privacidad

En muchos casos las políticas de privacidad de las páginas web son incomprensibles para los usuarios. La LOPDGDD exige que estas se expresen en un lenguaje claro y transparente, que cualquier persona pueda entender sin necesidad de tener conocimientos jurídicos. Esos textos suelen estar redactados por abogados y se utiliza un lenguaje poco claro.

Formularios de suscripción y registro

Las páginas web que disponen de formularios de suscripción o de registro normalmente no disponen de una opción para dar el consentimiento al tratamiento de esos datos. Ese consentimiento debe ser informado, expreso, inequívoco y demostrable ya que el dueño de la web tiene que poder probar que ese usuario dio su consentimiento.

Portabilidad y derecho al olvido

Es frecuente que en la política de privacidad de la web se incluya el ejercicio de los derechos ARCO, que existían con anterioridad al RGPD. Pero la portabilidad de los datos y el derecho al olvido son nuevos derechos reconocidos en el RGPD. Y la mayoría de páginas web no incluyen los medios para ejercerlos y dar respuesta a los mismos.

Adecuadas medidas de seguridad

Las páginas web que utilizan gestores de contenido muchas veces no los actualizan por lo que pueden producirse importantes brechas de seguridad que afecten a los datos de los usuarios. Además la mayoría de empresas no tiene establecido un procedimiento de notificación y gestión de las brechas de seguridad. Algo que es obligatorio con la LOPDGDD. Por otro lado, muchas empresas no disponen de un sistema de control periódico que permita recuperar la disponibilidad de la web y los datos en caso de producirse cualquier incidente de seguridad.

Alojamiento de la web fuera de la UE

Muchas de las webs alojadas en servidores ubicados fuera del territorio de la UE no adoptan las medidas de seguridad exigidas por la LOPDGDD para proteger los datos. Debemos verificar que el proveedor de hosting de nuestra página web cumpla con el RGPD y la LOPDGDD.

Como ves, aunque son varias las tareas a realizar, es importante que empieces cuanto antes a cumplir con la LOPDGDD.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.