La Ley Orgánica de Datos y Garantía de los Derechos Digitales (LOPDGDD) establece las obligaciones que deben cumplir los propietarios de páginas web a la hora de tratar la información personal de los usuarios. En esta entrada vamos a explicar cómo cumplir los requisitos para la protección de datos de una página web, para que puedas adaptar tu sitio a la LOPDGDD.
¿Por qué debes adaptar tu página web a la LOPDGDD?
Si tienes una página web, incluso si se trata de tu blog personal, como mínimo estás recabando la dirección IP de tus visitantes; tanto la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD o LOPD) como el Reglamento General de Protección de Datos (RGPD) consideran la dirección IP como un dato de carácter personal y, por lo tanto, deberás cumplir con las obligaciones contempladas en la normativa de protección de datos en la web.
Si, además, tu página web tiene una sección de comentarios, un formulario de suscripción, la usas como tienda online o usa Google Analytics o cualquier otro sistema de medición de audiencias, entonces estarás tratando muchos más datos de tus usuarios.
Aparte de ser una obligación, también deberás cumplir con la protección de datos en páginas web para evitar posibles denuncias y sanciones por parte de la AEPD (Agencia Española de Protección de Datos). Pero ten en cuenta que cumplir con la normativa también será prueba de que tu sitio es seguro y de confianza, algo especialmente útil si la finalidad de tu sitio online es la venta de productos o servicios.
Cómo adaptar tu página web a la LOPDGDD paso a paso
Aunque la complejidad de adaptar tu página web a la LOPD dependerá del tipo y cantidad de datos personales que trates, hay una serie de requisitos indispensables que todas las web deben cumplir, incluidos blog personales.
Además, siempre deberás tener en cuenta dos conceptos: información y consentimiento. Siempre deberás informar a tus usuarios de lo que vas a hacer y cómo con los datos personales que recabas. Y siempre deberás contar con el consentimiento expreso de tus usuarios para poder recabar y tratar sus datos personales. Todos los pasos que vamos a describir a continuación sobre la protección de datos web giran en torno a estos dos conceptos.
Crea la política de privacidad
Toda página web debe tener una política de privacidad, puesto que será en ella donde se recoja toda la información relativa al tratamiento de datos que se realizará en la web. Se trata de un texto legal que informa, entre otras cosas, de los datos personales que se recogerán en la web, los medios empleados para esa recogida, cómo se almacenan y para qué serán usados. Además, también informa de la identidad del responsable del tratamiento y, en caso de que los haya, del encargado o encargados del tratamiento y del delegado de protección de datos (DPO).
El artículo 12 del RGPD establece que la política de privacidad debe ser clara, concisa, transparente y comprensible, es decir, que los usuarios deben entenderla con facilidad y no dar lugar a ambigüedades o vaguedades.
La política de privacidad se facilita a los usuarios a través de diferentes capas informativas; la primera de estas capas debe estar en los formularios de la web (hablaremos de ellos más adelante) y la segunda capa informativa debe contener toda la política de privacidad, alojada en una página o subpágina aparte, a la que se puede llegar desde cualquier parte de la página principal o subpágina del sitio web; lo habitual es encontrar un enlace a la misma en el footer de la web.
Como mínimo, la política de privacidad debe incluir información sobre el siguiente contenido:
- Información del responsable del tratamiento
- Datos identificativos y de contacto del responsable del tratamiento (en una página web particular, el responsable del tratamiento eres tú)
- Finalidad del tratamiento
- Legitimación del tratamiento (debe indicarse también cuáles son, sin que sea suficiente una mención genérica al interés legítimo o el uso de una fórmula abstracta)
- Si procede, información relativa a los terceros destinatarios de datos personales
- Si procede, información relativa a las transferencias internacionales de datos personales
- Plazo de conservación de los datos
- Información sobre los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad, además de los de olvido y oposición al tratamiento)
- Información sobre decisiones individuales automatizadas, si en la web se realiza un tratamiento automatizado de datos (como la elaboración de perfiles)
Si tu web tiene fines comerciales
De acuerdo a la LSSI-CE, si tu página web tiene fines comerciales o incluye publicidad de algún tipo, también deberás incluir el aviso legal. Las páginas web corporativas de un autónomo o una empresa también deben incluir este aviso legal.
De la misma manera que la política de privacidad, el aviso legal debe alojarse en una página o subpágina aparte, a la que podrá accederse desde cualquier lugar de la web principal o sus secciones. Nuevamente, se suele colocar un enlace al mismo en el footer.
El aviso legal recoge la siguiente información:
- Datos registrales (nombre o razón social, dirección, correo electrónico, datos de inscripción en el Registro Civil, licencia administrativa, información relativa a precios)
- Términos de uso de la web (propiedad intelectual e industrial, responsabilidades del titular, condiciones de uso, etc.).
Crea la política de cookies
Otro de los aspectos importantes de la protección de datos en una página web son las cookies. Estas son pequeños archivos de código que se instalan en el navegador de los usuarios y qué recopilan diferentes tipos de datos personales.
Existen diferentes tipos de cookies, desde las técnicas, que son necesarias para el correcto funcionamiento de la web (y que pueden instalarse sin consentimiento del usuario), pasando por las analíticas hasta las de seguimiento. La política de cookies nos servirá para informar a los usuarios de qué cookies emplea nuestro sitio web, qué datos recaban, con qué finalidad y quién la gestiona.
La política de cookies puede estar incluida dentro de la política de privacidad o como una página aparte, a la que deberá poder accederse desde cualquier punto de la página principal o subpáginas y desde el aviso de cookies.
La política de cookies debe informar de:
- Tipos de cookies empleadas por la web
- Cuánto tiempo duran en el navegador (plazo de eliminación)
- Datos que recaban
- Finalidad de las cookies
- Dónde se envían los datos y a quién
- Cómo rechazar las cookies o revocar el consentimiento dado para su uso
No te olvides del aviso de cookies
El aviso de cookies debe aparecer siempre que un usuario visita por primera vez la página web o cuando ha borrado las cookies de su navegador o estas han caducado.
Este aviso, que puede tomar diferentes aspectos, funciona como la primera capa informativa sobre las cookies y puede permitir que el usuario las acepte o rechace (configurar cookies) en el mismo aviso o incluir un enlace que nos conduzca a la política de cookies y el método escogido para configurarlas.
El aviso, además, debe impedir que las cookies se instalen si el usuario no las acepta o las rechaza, es decir, debe bloquearlas.
Si tenemos conocimientos limitados, para implementar el aviso de cookies, existen diferentes plugins que se pueden instalar fácilmente en la mayoría de páginas web.
Adapta los formularios a la normativa
Si tu página web usa formularios (de inscripción, de venta, para comentarios, etc.), estos deben estar de acuerdo a la normativa de protección de datos, lo que significa dos cosas:
- Como si se tratase de una cláusula de protección de datos de la página web, deben suministrar la primera capa informativa sobre la política de privacidad, que será una versión resumida con los aspectos clave de la misma (responsable del tratamiento, finalidad, legitimación, derechos ARSULIPO) y el correspondiente enlace a la segunda capa informativa.
- Deben registrar el consentimiento expreso de los usuarios, para lo que se incluirá una casilla de verificación o check box, que debe estar desmarcada, mediante la que el usuario acepté la política de privacidad.
Como en el caso del aviso de cookies, existen plugins para hacer que los formularios de tu página web estén conformes a la normativa de protección de datos.
Gestiona el consentimiento
Para asegurar que tu página web cumple la LOPD y el RGPD, es fundamental que gestiones de manera adecuada el consentimiento. Esto implica, por un lado, que siempre lo recabes en formularios y cookies tal y como hemos explicado en los puntos anteriores, y, por otro lado, que ese consentimiento quede registrado en tu base de datos, para así demostrar que lo recogiste y sigues contando con él. Los diferentes plugins de cumplimiento RGPD suelen encargarse de manera automática de esta labor.
También deberás facilitar a los usuarios que puedan revocar el consentimiento dado de forma sencilla y rápida, es decir, debes gestionar las solicitudes de revocación del consentimiento y darles respuesta de forma inmediata, procediendo a suprimir los datos personales de esos usuarios de tus bases de datos y poner fin a su tratamiento.
Adopta las medidas de seguridad necesarias para garantizar la protección de datos
Las páginas web que utilizan gestores de contenido muchas veces no los actualizan por lo que pueden producirse importantes brechas de seguridad que afecten a los datos de los usuarios. Además, la mayoría de empresas no tiene establecido un procedimiento de notificación y gestión de las brechas de seguridad. Algo que es obligatorio con la LOPDGDD. Por otro lado, muchas empresas no disponen de un sistema de control periódico que permita recuperar la disponibilidad de la web y los datos en caso de producirse cualquier incidente de seguridad.
Por lo tanto, asegúrate de que tu página web (hosting, gestor de contenido, etc.) cuenta con las medidas de seguridad necesarias para garantizar la privacidad y protección de los datos personales de tus usuarios.
¿Debo llevar un registro de actividades de tratamiento?
Salvo que la página web pertenezca a una empresa con más de 250 empleados o se traten en ella enormes volúmenes de datos personales o datos sensibles, en principio no sería necesario llevar un registro de actividades de tratamiento.
Si tu página se aloja fuera de la UE
Muchas de las webs alojadas en servidores ubicados fuera del territorio de la UE no adoptan las medidas de seguridad exigidas por la LOPDGDD para proteger los datos. Debemos verificar que el proveedor de hosting de nuestra página web cumpla con el RGPD y la LOPDGDD.
Como ves, aunque son varias las tareas a realizar, es importante que tu página web cumpla con la LOPDGDD y el RGPD, de otra forma, estarías expuesto a recibir sanciones.