Entradas aleatorias

Javascript barra de lectura

javascript

Nuestra visión del mundo online

5 de diciembre de 2017

¿Está tu negocio en internet adaptado a la LOPD y a la LSSI?

Cada día las empresas y las personas físicas tienen más presencia en internet a través de webs corporativas, blogs, tiendas online. La presencia de webs en España ha tenido un gran crecimiento a nivel global en los últimos años, pero antes de que inicies tu proyecto online es importante que conozcas los aspectos legales que hay que cumplir.

Durante el proceso de desarrollo de una tienda online, una página web corporativa, un blog, etc., muchos de nuestros clientes desconocían los requisitos legales que deben cumplir.

Entre las diferentes leyes que debe cumplir un ecommerce, hay dos leyes principales: 

Ley Orgánica de Protección de Datos (LOPD) y la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE o también conocida como LSSI).

Ambas leyes (LOPD y LSSI) son de obligado cumplimiento, ya que a lo largo del proceso de interacción con los usuarios se puede recopilar datos personales, los cuales son recogidos para gestionar pedidos, enviar newsletter y/o boletines informativos, enviar promociones, etc.

Con este post queremos aportarte todas las dudas que puedas tener respecto a estas dos leyes para que evites las sanciones por parte de la Agencia Española de Protección de Datos (AGPD) y las demandas por partes de otras empresas y/o particulares.

Empezaremos por definir cada una de las leyes:

¿Qué es la LOPD?

 Según definición expuesta en la wikipedia:

La LOPD o Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, que tiene como objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar.

El derecho a la protección de datos (LOPD) junto con una serie de normas que la desarrollan y complementan, establecen una conjunto de medidas de obligado cumplimiento para aquellas entidades o profesionales que traten con datos de carácter personal. Es decir, esta ley afecta a toda persona, empresa u organismo (privados como públicos), que desarrollen una actividad y manejen datos personales, cuyo fin es impedir el uso no autorizado por parte de terceros de los datos personales de cualquier ciudadano para fines o en forma que pueda afectar a su privacidad, intimidad o entorno personal, social, familiar, profesional, etc.

 La LOPD  tiene como finalidad garantizar la protección y buen tratamiento de datos de carácter personal. 

Hoy en día los datos personales representan un grandísimo valioso activo para la empresas, indispensable en muchos casos para desempeñar su actividad, y debes por ello debes garantizar su confidencialidad.

Al ordenar todos los datos de los clientes y clasificarlos, aumentarás la productividad de tus operaciones empresariales y generarás mayor confianza entre tus clientes. Estos motivos cogen más fuerza porque la protección de datos es un Derecho Fundamental recogido en la Constitución.

 Esta Ley se aplica a todas las empresas, independientemente de su tamaño, sean digitales o no, y la única diferencia estriba en los niveles de seguridad que afectan a cada fichero dependiendo de la sensibilidad de sus contenido, para evitar que estos ficheros se manipulen de forma inadecuada, se cedan o vendan a terceros sin consentimiento previo, surgió esta normativa.

Los datos de carácter personal se dividen en tres niveles dependiendo del tipo de información que se recaben:
  1. Nivel básico: datos identificativos, como el NIF, NºSS, nombre, apellidos, dirección, teléfono, firma, imagen, e-mail, nombre de usuario, número de tarjeta, matrícula, etc...

  2. Nivel medio: datos a cerca de infracciones administrativas o penales; de los que sean responsables entidades financieras, tributarias o la Seguridad Social; solvencia o crédito; datos de prestación servicios financieros; datos tributarios o de la Seguridad Social y datos referentes a la personalidad o comportamiento de las personas, como gustos, costumbres aficiones etc...
  3. Nivel alto: datos a cerca de ideología, creencias, religión, origen racial, salud, vida sexual o violencia de género  u otros recabados con fines policiales y sin consentimiento previo del titular.

¿Quien debe cumplir con la LOPD?
Esta ley deben cumplirla aquellas empresas y/o empresarios y personas (autónomos, profesionales de cualquier especialidad, artistas, etc), que manejen datos los de carácter personal (de clientes, trabajadores, proveedores, etc.,): nombres de personas, direcciones de correo electrónico, teléfonos u otros datos personales.

El responsable de los datos y de su tratamiento será la persona que decida sobre la finalidad, el contenido y el uso del tratamiento de los datos personales, siendo sobre quién recaiga las obligaciones establecidas por la LOPD, y será quien deberá hacer que se cumpla la Ley.
La LOPD obliga a todas las personas, empresas y organismos, tanto privados como públicos, que dispongan de datos de carácter personal a cumplir una serie de requisitos y aplicar determinadas medidas de seguridad en función del tipo de datos que posean.

Entre los deberes del responsable de los datos estarán:
  • Inscripción de ficheros; ante el Registro General de Protección de datos.
  • Calidad de los datos; que estos sean adecuados y veraces.
  • Deber de guardar secreto; garantizar el cumplimiento de los deberes de secreto y seguridad.
  • Deber de información; Informar y obtener consentimiento para la recogida y tratamiento de los datos personales.
  • Atención de los derechos de los ciudadanos; derecho de acceso, derecho de rectificación y cancelación y derecho de oposición.
El derecho a la protección de datos personales es un derecho fundamental de todas las personas que se traduce en la potestad de control sobre el uso que se hace de sus datos personales. Este control permite evitar que, a través del tratamiento de nuestros datos, se pueda llegar a disponer de información sobre nosotros que afecte a nuestra intimidad y demás derechos fundamentales y libertades públicas.
Artículo 18 de la Constitución Española:
“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”

 En el programa programa "Emprende Digital" de RTVE, nos explican cómo cumplir con la ley LOPD

Las empresas y organismos que dispongan de datos personales de usuarios y/o clientes están obligados a comunicar a la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, todos los datos de carácter personal que por su actividad necesitan recabar, e informar a la Agencia Española de Protección de Datos dónde se almacenan éstos y cual es el tratamiento que se le da a dicha información.

Reglamento General de Protección de Datos (RGPD)
El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos que obliga a empresas y autónomos a realizar una serie de cambios con plazo límite hasta 25 de mayo de 2018. Mientras tanto, la actual LOPD sigue vigente.

Esta normativa europea tiene com objetivo aportar un único marco comunitario para la protección de datos. Con este reglamento se procura la mejora del proceso y reducir los trámites burocráticos. Las empresas adquirirán un mayor compromiso con la gestión y privacidad de los datos.

En este sentido, entre las nuevas prácticas que las pymes y autónomos están obligados a realizar  durante 2017 y hasta el 25 de mayo de 2018 está:
  • La Actualización de las cláusulas y políticas informativas en torno a la potección de datos.
  • El procurar el consentimiento inequívoco, y no tácito, del cliente para el uso de sus datos.
  • La Puesta en marcha de Evaluación de Impacto en la Protección de Datos Personales (PIA).
  • La Obligatoriedad de la figura de un delegado de protección de datos.
  • Los Nuevos códigos de conducta para velar por la privacidad de datos.
  • Los Certificados y sellos de cumplimiento de la RGPD.

¿Qué es la LSSI?

 La Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico, regula los servicios de la sociedad de la información y de la contratación por vía electrónica, es decir las comunicaciones electrónicas con el fin de la protección del cliente. Es la Ley que se encarga de proteger a los consumidores en la red (en internet) dándoles derecho a conocer toda la información sobre los prestadores de servicios, ya sean empresas o particulares (nombre, domicilio, dirección de correo electrónico, etc.), y los precios de los productos o servicios que éstos ofrecen.

Si tienes pensado montar un ecommerce (tienda online), debes prestar mucha atención la LSSI

Según la página del Ministerio de Energía, Turismo y Agenda Digital, la LSSI, establece tanto a los proveedores de servicios de intermediación, como a las empresas que ofrecen sus productos y a los ciudadanos que posean una página web, las reglas necesarias para que el uso y disfrute de esta red, así como la posible actividad económica generada en torno a la compra y venta de todo tipo de productos y servicios, sea una experiencia positiva, segura y confiable.

Esta ley, en materia de Publicidad y E-mail Marketing, da derecho a que los usuarios conozcan la identidad del/los anunciante/s y a tener la posibilidad de dejar de recibir mensajes promocionales no solicitados y a oponerse en cualquier momento a la recepción de los que sí hubieran autorizado.

Cuando hablamos de contratación electrónica, los clientes deben conocer todos los pasos necesarios para contratar por Internet, a acceder a las condiciones generales de la compra antes de realizar su pedido y a obtener un acuse de recibo del vendedor que le asegure que su pedido ha llegado al vendedor.


Obligaciones de la LSSI
Las obligaciones que los prestadores de servicios de la sociedad de la información establecidos en España deben de cumplir son:

Deber de información general
Todos aquellos que poseen una web con fines comerciales deben de facilitar de una forma clara quien es el responsable de la página web, ya sea persona física o empresa. Además deben de explicar de manera sencilla cómo contactar con el responsable de la web, así como la política de privacidad y las condiciones generales.

El prestador de servicios de la sociedad de la información está obligado a dar a conocer de forma gratuita, fácil y permanente los siguientes datos:
  • El nombre o denominación social, el lugar de residencia o domicilio.
  • Número de identificación fiscal (CIF o NIF).
  • Datos que permitan la comunicación directa como el correo electrónico o teléfono.
  • Los datos de inscripción en el registro mercantil, y en el caso de que estuviese sujeto a autorización administrativa o que se ejerza una profesión regulada como la de médico o abogado, serán necesarios los datos pertinentes.
  • Códigos de conducta


¿Por qué es importante cumplir con la LOPD y la LSSI?
Para garantizar que tu web, blog y/o Negocio Online se encuentra dentro de las exigencias legales, ya que podrían verse afectadas tus relaciones comerciales futuras.

La Agencia Española de Protección de Datos (AGPD) es el organismo encargado de velar por el cumplimiento de la LOPD y LSSI. Es un organismo de Derecho Público y personalidad jurídica propia e independiente (órgano autónomo) de las Administraciones Públicas. También se encarga de proteger a los consumidores de que no haya un mal uso de sus datos y que los canales de comunicación electrónica sean los adecuados.

La AGPD vela por los consumidores, por eso es importante que considerares el posible coste para tu empresa si hubiese una pérdida de los datos personales confidenciales, por un fallo en la seguridad informático, por un ciberataque, por un incendio o inundaciones, fallo del servidor, etc., pudiendo incurrir incluso en responsabilidades civiles, competencias desleales, etc...

Además si no cumples con esta Ley, te enfrentar puedes enfrentar a importantes sanciones económicas, que repercutirán negativamente en la empresa, por lo que si estas dudando en si implantar o no la LOPD, debes tener en cuenta que el coste de no implantarla puede ser mucho mayor que si no lo haces.

El incumplimiento de la Ley LOPD y de la Ley LSSI acarrea sanciones económicas considerables

No cumplir con esta ley (por no darle la importancia que tiene) puede salirte un poco bastante caro tanto a nivel económico como a nivel de reputación online de tu web, blog y/o ecommerce.

El incumplimiento se penaliza con una sanción que varía dependiendo de la gravedad de la infracción.

Existen tres tipos de infracciones:
  1. Infracciones Leves
  2. Infracciones Graves
  3. Infracciones Muy Graves
Las infracciones leves serán sancionadas con multas de 900 a 40.000€.
Las infracciones graves serán sancionadas con multas de 40.001 a 300.000€.
Las infracciones muy graves serán sancionadas con multas de 300.001 a 600.000€.

La cuantía de las sanciones se mide en base a los siguientes criterios:
  • El carácter continuado de la infracción.
  • El volumen de los tratamientos efectuados.
  • La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  • El volumen de negocio o actividad del infractor.
  • El grado de intencionalidad.
  • La reincidencia por comisión de infracciones de la misma naturaleza.
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
  • La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
  • Cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora.
Según la Ley 2/2011, de 4 de marzo de Economía Sostenible, sobre la LOPD, artículo 45, que modificó algunos puntos de la Ley Orgánica 15/1999 de Protección de Datos, los importes de las sanciones se han reducido y quedan de la siguiente manera:


¿Qué debe contener el AVISO LEGAL y la POLÍTICA de PRIVACIDAD?
Para redactar cada uno de los documentos legales, no existe una norma estricta, pudiendo incluso elaborarse un documento único que los fusione, como vemos en el modelo de contrato de Aviso Legal para sitios web del Instituto Nacional de Tecnología de la Comunicación.

 El Aviso Legal de una página web contemplará los siguientes datos:
  • Nombre o Denominación Social
  • Nombre Comercial
  • Domicilio Social
  • CIF o NIF
  • E-Mail de contacto
  • Teléfono y/o Fax
  • Inscripción exacta en el Registro Mercantil
  • Dominio
  • Autorización Administrativa, si se requiere
  • Colegio Profesional y Nº de Colegiado, titulación académica y Estado de la UE donde se expidió o, en su defecto, homologó
  • Código de Conducta al que se adhiere el profesional (Opcional)
Los tres últimos puntos solo se exponen en profesiones reguladas como la Medicina o el Derecho.
El Aviso Legal se encabezará por la Ley en virtud de la cual se elabora: «el artículo 10 de la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE)».

LSSI-CE estipula que la empresa ha de confirmar al comprador o contratante la operación realizada enviándole un correo electrónico durante las siguientes 24 horas o mediante una ventana de confirmación en la web.

La Política de Privacidad informa acerca del método que la empresa utiliza para la recopilación de datos personales, el uso al que se destinarán y las opciones que el usuario ostentará sobre su tratamiento.

Como he comentado antes, para poder redactar éstos documentos legales, no hay una norma escrita y entre unos modelos y otros hay puede haber diferencias en los apartados de las Condiciones de Compra y Venta, en las Condiciones de la Web, pero en un documento conjunto que comprenda el Aviso Legal y la Política de Privacidad no debería faltar los siguientes puntos:
  • Datos Identificativos de la empresa.
  • Usuarios: Perfil del usuario al que se dirige el site y las condiciones generales que le afectan de la web.
  • Uso del Portal y responsabilidad del Usuario: contenidos, responsabilidad y obligaciones del usuario respecto al contenido web, además de las medidas que podrán adoptarse en caso de incumplimiento.
  • Protección de Datos: se corresponde con la Política de Privacidad propiamente dicha. La empresa expone el tratamiento que realizará de los datos cedidos por los usuarios / clientes, así como los derechos de información, rectificación, cancelación, oposición, etc.
  • Propiedad Intelectual e Industrial sobre la web, productos, etc.
  • Exclusión de Garantías y Responsabilidad: casos en los que la empresa se exime de responsabilidad con respecto a las informaciones incluidas, las caídas de servidores, etc.
  • Modificaciones: Política de modificación de los contenidos, diseños, etc., de la web.
  • Enlaces: política del sitio respecto a los sitios enlazados.
  • Derecho de Exclusión de determinados usuarios y las causas que la motivarían.
  • Generalidades: compromiso de la empresa con este aviso legal / política de privacidad.
  • Modificación de las condiciones y duración: la empresa se reserva el derecho de cambiar las condiciones o su vigencia.
  • Legislación aplicable y jurisdicción: país y juzgados bajo cuya jurisdicción está la web
Para que no te queden dudas a la hora de elaborar éste documento, puedes consultar al Instituto Nacional de Tecnología o recurrir a una empresa especializada.

Aparte de la elaboración de los documentos LSSI-CE (Aviso Legal) y el de la Política de Privacidad, es necesario redactar unas Condiciones Generales de Venta (productos) o Contratación (servicios) ya que hay que presentárselas al usuario antes de iniciar un proceso de compra-venta.

Las Condiciones Generales de Venta o Contratación deben presentar, de manera clara y concisa, los siguientes puntos:
  • El proceso de compra o contratación, plazos de entrega, formas de pago, etc
  • Información referente a los precios, con especificación expresa de los impuestos y gastos de envío
  • Obligaciones del vendedor y el comprador
  • Respuesta de la empresa cuando el pedido sea defectuoso
  • Idioma del contrato

¿Sabes si estás cumpliendo con la normativa?
Aquí te vamos a nombrar algunas de las actuaciones administrativas derivadas de la LOPD, simplemente para que te hagas idea de si estás haciendo un buen trabajo.
  • Recabar de los interesados o afectados el consentimiento previo
  • Declarar e inscribir los ficheros de datos personales en el Registro General de Protección de Datos de la Agencia Española de
  • Protección de Datos
  • Implantación de medidas que salvaguarden la seguridad, integridad y confidencialidad de los datos
  • Redactar un Documento de Seguridad
  • Suscribir un contrato de comunicación de datos con toda aquella empresa o profesional a la que se le comuniquen datos personales.
  • Implantación de mecanismos para asegurar el ejercicio efectivo de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
  • Adecuar todas las comunicaciones corporativas en general a la normativa
  • Realizar auditorías periódicas para la verificación de las medidas de seguridad
  • Establecer procedimientos que permitan a la empresa acreditar de manera fehaciente el cumplimiento adecuado de la legislación aplicable en cada caso
El equipo de Trusted Shops en su III Estudio de e-Commerce en Europa de 2014 exponen los tres criterios principales para elegir un comercio electrónico en España
  • El precio del producto
  • La seguridad del sitio web
  • Credibilidad y fiabilidad en las ofertas
Donde indican que el “El 87% de los españoles consideran la seguridad como uno de los principales criterios a tener en cuenta a la hora de escoger una tienda online u otra”. Seguridad en internet está asociado a valores como la protección de datos y la defensa de los derechos del consumidor.

Puedes descargarte el III Estudio de e-Commerce en Europa AQUÍ


Por tanto, es fundamental cuidar y proteger dichos datos para que tu negocio cumpla con la normativa legal vigente, transmitas confianza a tus clientes (ya que son el activo más importante de tu negocio) y evitar graves sanciones por parte de la AGPD.


Si en algo puedo ayudarte, estaré encantada de responder cualquier duda o sugerencia que dejes en la zona de comentarios :-D

¡Hasta más post! ;-)




Seguir leyendo

Si deseas recibir nuestros artículos,

subcríbete a nuestra newsletter de forma totalmente gratuita

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

También
te puede interesar