La Ley Orgánica de Datos y Garantía de los Derechos Digitales (LOPDGDD) establece las obligaciones que deben cumplir los propietarios de páginas web a la hora de tratar la información personal de los usuarios. En esta entrada vamos a explicar cómo cumplir los requisitos para la protección de datos web, para que puedas adaptar tu sitio a la LOPDGDD.

Adapta tu página web a la LOPDGDD

¿Has colocado en tu página web información acerca del nombre de tu empresa, dirección social, registro mercantil, etc.?

¿Has informado a tus clientes acerca de la divulgación o si compartes sus datos y facilitado opciones para consultarlos, cambiarlos o destruirlos?

¿Informas en tu web del propósito de dicha recopilación de datos personales?

¿Envías a tus clientes e-mails comerciales sin que ellos te hayan dado su consentimiento expreso?

Estas son algunas de las preguntas que debes hacerte para saber cómo adaptar tu página web a la Ley Orgánica de Datos y Garantía de los Derechos Digitales. En esta ley se regulan los requisitos que deben cumplir las páginas web en materia de protección de datos. Entre ellos están los siguientes:

  • Cómo informar sobre quién trata los datos
  • Con qué finalidad
  • Qué base legal legitima el tratamiento
  • Cuánto tiempo se conservan los datos
  • Derechos de los usuarios y cómo ejercerlos
  • Si los datos se van a ceder a terceros
  • Si se toman decisiones automatizadas o si se van a realizar transferencias internacionales, etc.

A continuación te resumo los principales puntos a tener en cuenta. La mayoría de los cuales deberán aparecer descritos en tu política de privacidad web.

Información del responsable de la web

Uno de los primeros requisitos para adaptar páginas web a la Ley de Protección de Datos es informar sobre la identidad y datos de contacto del responsable del tratamiento de datos personales, el encargado y sus representantes, junto con los datos de contacto del Delegado de Protección de Datos (DPD), si dispone de uno.

Para ponerse en contacto con el responsable del tratamiento o el DPD, lo más adecuado es proporcionar una dirección de correo electrónico o habilitar un formulario electrónico.

Para suministrar esta información, tendremos que usar un texto legal web o modelo de aviso legal y que debe formar parte de la página web como un texto para protección de datos más (es habitual que aparezcan enlazados en el footer de la web).

Legitimación del tratamiento

Aparte de indicar las finalidades del tratamiento de los datos personales del interesado, otra de las obligaciones para que cumplir con la Ley de Protección de Datos en la página web es informar sobre cuál es la base jurídica que legitima cada actividad de tratamiento.

En este sentido, cuando el tratamiento de los datos se base en la satisfacción de intereses legítimos, debe indicarse también cuáles son, sin que sea suficiente una mención genérica al interés legítimo o el uso de una fórmula abstracta.

Registro de actividades del tratamiento

Los responsables o encargados del tratamiento deben elaborar ficheros en los que se informe sobre las actividades de tratamiento de datos. La información que deben contener estos ficheros está recogida en el artículo 30 del RGPD.

El registro se debe realizar mediante el almacenamiento estructurado de datos y deberá especificar los tratamientos llevados a cabo según su finalidad o las demás circunstancias indicadas en el reglamento europeo.

Además, los responsables o encargados del tratamiento deben comunicar al Delegado de Protección de Datos cualquier modificación o adicción en los contenidos de los ficheros.

Consentimiento

En el formulario de recogida de datos es obligatorio incluir una solicitud de consentimiento. La misma se diferenciará del resto de la relación del interesado con el responsable del tratamiento.

El artículo 6 de la LOPDGDD señala que se entiende por consentimiento «toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

Es decir, ya NO está permitido el consentimiento tácito o por inacción. Para adaptar tu web a la LOPD de forma correcta, el consentimiento debe ser explícito e inequívoco.

Por otro lado, para tratar datos personales con distintas finalidades es necesario obtener consentimiento para cada una de ellas.

No olvides que las casillas ya marcadas, el silencio o la inacción no se consideran consentimiento. Hay que poder marcar una casilla en blanco (o similar) para cada finalidad de tratamiento, si bien se pueden agrupar en propósitos afines. Deberá ser tan fácil retirar el consentimiento como darlo.

Plazo de conservación

Es necesario informar de manera clara sobre el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar ese plazo.

El interesado debe tener una idea aproximada del plazo de conservación establecido por la legislación. Tienes que indicar la normativa aplicable, o dar información que le permita conocer y calcular por cuánto tiempo los datos personales del interesado serán conservados.

Por lo general, los datos podrás ser conservados mientras sean necesarios para ejercer la finalidad para la que fueron recogidos.

Concepto protección de datos web 2

Derechos del interesado

La AEPD recuerda también que se debe informar al interesado sobre la existencia de sus derechos.

Para poder ejercitarlos se recomienda facilitar una dirección de correo electrónico o un formulario electrónico. Sería deseable que se explique en qué consiste cada derecho y el procedimiento para su ejercicio.

La LOPDGDD modificar los tradicionales derechos ARCO por los derechos ARSOLUPO (Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición.

Hay que tener en cuenta que para adaptar las páginas web a la LOPD debes cumplir con lo dispuesto con el ejercicio de estos derechos.

Acceso

El interesado tiene derecho a obtener confirmación por parte del responsable o el encargado de que se están tratando sus datos personales y, en ese caso, acceso a los mismos.

Rectificación

El usuario tiene derecho a solicitar al responsable o encargado la modificación de aquellos datos falsos o inexactos que le conciernan. También a que se completen, mediante declaraciones adicionales, aquellos datos que estén incompletos.

Supresión

Cualquier persona tiene derecho a solicitar la eliminación de sus datos personales, siempre y cuando ya no sean necesarios para cumplir la finalidad del tratamiento, éstos se hayan obtenido de forma ilícita, haya decidido retirar el consentimiento y otras razones previstas en el artículo 17 del RGPD.

Limitación del tratamiento

El interesado podrá solicitar la limitación del tratamiento en virtud de los motivos dispuestos en el artículo 18 del RGPD.

En ese caso, el tratamiento solo podrá realizarse para el ejercicio de reclamaciones, con el objetivo de proteger los datos de otra persona física o jurídica o por razones de interés público.

Portabilidad

El usuario tiene derecho a solicitar los datos personales que le incumban a través de un formato estructurado de uso común y lectura mecánica. Además, podría comunicar esta información a otros responsables sin que lo pueda impedir el responsable al que se la hubiera comunicado previamente.

Oposición

El interesado tendrá derecho a oponerse al tratamiento de sus datos personales en todo momento, incluyendo los fines para mercadotecnia directa. El responsable del tratamiento deberá acatar esta decisión salvo que pueda probar que sus intereses legítimos prevalecen sobre los del usuario, o que los datos sean necesarios para el ejercicio o defensa de reclamaciones.

Cesión de datos

Asimismo, si el responsable tiene la intención de ceder los datos personales recogidos, debe detallar quiénes serán los destinatarios o las categorías de destinatarios de estos datos.

Asimismo, el responsable del tratamiento deberá garantizar que se aplican las medidas técnicas y organizativas necesarias para el tratamiento de datos, cuando estos sean cedidos a terceros establecidos en países donde no se haya declarado un adecuado nivel de protección de datos en la web.

Obligación de facilitar los datos

Hay que informar al interesado de si tiene una obligación legal o contractual de facilitar los datos personales, o si es un requisito necesario para suscribir un contrato o si está obligado a facilitar sus datos personales.

Además, tienes que informar sobre las posibles consecuencias de no facilitar tales datos. Resulta insuficiente no poder completar la acción deseada si no se facilitan los datos personales solicitados.

Elaboración de perfiles

Si se adoptaran decisiones automatizadas, incluida la elaboración de perfiles, hay que informar de la existencia de estas decisiones y dar información clara y simple sobre la lógica aplicada. Y también sobre los efectos previstos y la importancia de este tratamiento para el interesado.

Además, el interesado tendrá derecho a no ser objetivo de un tratamiento automatizado, incluyendo la elaboración de perfiles, que pueda ocasionar en el algún efecto jurídico o le ocasiones un perjuicio similar.

Transferencias internacionales

La ley de protección de datos web es muy clara respecto a las transferencias internacionales de datos; debes informar al interesado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.

Para adaptar una página web a la LODPGDD no sirve con utilizar expresiones generales como «garantías adecuadas». Además, el responsable del tratamiento es el encargado de garantizar la aplicación de las medidas adecuadas para garantizar la seguridad de los datos cedidos a Estados en los que no exista un adecuado nivel de protección.

Información clara y concisa

La información se debe proporcionar al interesado de forma clara y concisa, teniendo en cuenta que el objetivo final es que el usuario pueda tomar decisiones informadas sobre la utilización de sus datos personales.

Para ello, se recomienda facilitarla en un único documento o en una misma ubicación dentro del sitio web y adoptar un modelo de información por capas o niveles, de tal manera que se presente al interesado una información básica reducida y una información adicional más detallada.

Si pides el consentimiento del interesado para el tratamiento de sus datos, debes añadir la información básica relativa a esta solicitud en el mismo formulario en que se obtenga este consentimiento.

Toda la información que facilites al interesado debe ser correcta y la extensión de las explicaciones debe ser proporcionada, para no desalentar su lectura y entendimiento por parte del afectado. Para ello, se recomienda también utilizar un tamaño de letra promedio y organizar la información en párrafos o apartados que faciliten su comprensión.

Puedes consultar nuestra Guía sobre LSSI-CE para cumplir con el deber de informar de forma correcta si tienes un e-commerce.

Concepto de protección de datos web 1

Principales errores en la Protección de datos de una página web

A partir de la entrada en vigor de la LOPDGDD se ha producido un importante cambio en el concepto de seguridad de la información personal que tienen las empresas. Y también en la manera de recopilar los datos y consentimientos de los usuarios. Y esto ha influido enormemente en las páginas web de las empresas.

A pesar de que esta normativa ya lleva tiempo entre nosotros, muchas empresas siguen sin adaptar sus páginas web a la LOPDGDD. Y eso que las sanciones pueden llegar hasta los 20 millones de euros o un 4% de la facturación

Normalmente, las empresas han centrado su adaptación a la ley de Protección de datos en otros ámbitos, como la obtención del consentimiento. Pero se han olvidado de otras cuestiones importantes. Uno de esos aspectos es la adecuación de sus páginas web a los requisitos del RGPD y LOPDGDD y las páginas web suelen tener importantes errores que pueden ocasionar sanciones para la empresa.

A continuación te explico cuáles son esos errores que se cometen en las páginas web en protección de datos.

Aceptación de cookies

Este es uno de los principales errores cometidos al adaptar páginas web a la LOPDGDD (o mejor dicho, no adaptar). Se exige una aceptación expresa por parte de los usuarios de las cookies usadas en el sitio web. Pero en la mayoría de las web permanece la opción de seguir navegando para otorgar el consentimiento. Y eso con la LOPDGDD no es suficiente.

Rechazo de cookies

Es muy difícil, en la mayoría de las webs, rechazar determinadas cookies. Estas normalmente se aceptan en bloque, sin diferenciar entre cookies de rastreo, analíticas o de otro tipo para rechazar las que queramos. Lo normal es que sea más fácil aceptar que rechazar esas cookies.

Finalidad de las cookies

En el texto del aviso de cookies deben indicarse claramente los fines para los que se instalan esas cookies. No es suficiente solo aceptar o rechazar las cookies.

Consentimiento tácito

En la gran mayoría de las webs se entiende que el hecho de que el usuario continúe en la página supone la aceptación de la recopilación de sus datos personales. Pero en la LOPDGDD indica que ese consentimiento para recopilar datos personales debe ser expreso.

Para adaptar tu página web a la LOPDGDD debes volver a solicitar el consentimiento de todos aquellos usuarios cuyo consentimiento no hubiera sido obtenido de forma expresa.

Complicadas políticas de privacidad

En muchos casos las políticas de privacidad o el aviso legal de las páginas web son incomprensibles para los usuarios. La LOPDGDD exige que estas se expresen en un lenguaje claro y transparente, que cualquier persona pueda entender sin necesidad de tener conocimientos jurídicos. Esos textos suelen estar redactados por abogados y se utiliza un lenguaje poco claro.

Formularios de suscripción y registro

Las páginas web que disponen de formularios de suscripción o de registro normalmente no disponen de una opción para dar el consentimiento al tratamiento de esos datos. Ese consentimiento debe ser informado, expreso, inequívoco y demostrable ya que el dueño de la web tiene que poder probar que ese usuario dio su consentimiento.

Los formularios debe contener una doble capa informativa. Una primera en la que se muestran los datos básicos sobre responsable y tratamiento de datos, y una segunda en la que se detallan las actividades del tratamiento o los métodos para ejercer los derechos ARSULIPO.

Asimismo, los formularios deben incluir una casilla de verificación o check box para que el usuario puede otorga su consentimiento de forma activa e inequiívoca.

Portabilidad y derecho al olvido

Es frecuente que en la política de privacidad de la web se incluya el ejercicio de los derechos ARCO, que existían con anterioridad a la LOPDGDD. Sin embargo, esta normativa modifica estos derechos para incluir algunos nuevos como la portabilidad de los datos y el derecho al olvido. Y la mayoría de páginas web no incluyen los medios para ejercerlos y dar respuesta a los mismos.

Adecuadas medidas de seguridad

Las páginas web que utilizan gestores de contenido muchas veces no los actualizan por lo que pueden producirse importantes brechas de seguridad que afecten a los datos de los usuarios. Además la mayoría de empresas no tiene establecido un procedimiento de notificación y gestión de las brechas de seguridad. Algo que es obligatorio con la LOPDGDD. Por otro lado, muchas empresas no disponen de un sistema de control periódico que permita recuperar la disponibilidad de la web y los datos en caso de producirse cualquier incidente de seguridad.

Alojamiento de la web fuera de la UE

Muchas de las webs alojadas en servidores ubicados fuera del territorio de la UE no adoptan las medidas de seguridad exigidas por la LOPDGDD para proteger los datos. Debemos verificar que el proveedor de hosting de nuestra página web cumpla con el RGPD y la LOPDGDD.

Como ves, aunque son varias las tareas a realizar, es importante que empieces cuanto antes a adaptar tu página web a la LOPDGDD.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.