¡Hola Soywebmasters!
¡Aquí David Ayala de nuevo!
En esta ocasión os traigo un post en el que se va a tratar el tema de el reglamento de protección de datos, pero desde un punto de vista lo más práctico posible y sobre todo enfocado a los diferentes tipos de web que podemos tener cada uno de nosotros.
Peeeero… Como de esto lo mejor es que hable alguien experimentado en la materia, traigo de invitada a Marina Brocca para que nos comparta su sabiduría en la materia.
Sí… Se que el tema legal puede ser un poco coñazo, así que le he pedido a Marina que sea lo más práctica posible, así que no te lo pierdas 🙂
Índice
- 1 Cómo adecuar cualquier tipo de web al reglamento de protección de datos
- 2 Las leyes que afectan a cualquier tipo de web
- 3 Reglas básicas comunes para adecuar cualquier tipo de web
- 4 Adaptar un blog al RGPD
- 5 Cómo adecuar una web corporativa sin blog al RGPD
- 6 Cómo adecuar un e-commerce al RGPD y al resto de leyes
- 7 Capas de seguridad recomendadas para cualquier web
- 8 Conclusión
Cómo adecuar cualquier tipo de web al reglamento de protección de datos
A estas alturas, tienes claro que tener tu web adaptada al RGPD (Reglamento europeo de protección de datos) es algo básico e ineludible, lo que quizás no tengas tan claro es cómo debería ser esa adaptación legal dependiendo si se trata de un blog, de un e-commerce, o de una web corporativa.
Lo que debe quedarte claro es que cada web necesita un traje legal a medida y dependiendo del tipo de web, deberás realizar adaptaciones ajustadas a las funcionalidades que tenga y los sistemas de captura de datos que utilice.
Esta guía te ayudará a comprender:
- Cómo implantar todos los mecanismos y elementos informativos que exige la actual legislación española y europea según el tipo de página web.
- Las diferentes acciones que tendrás que realizar para adaptar tu web según sus funcionalidades
- Qué textos legales vas a necesitar en cada una dependiendo si tienes una web, blog o e-commerce.
Las leyes que afectan a cualquier tipo de web
Aunque hablemos siempre del RGPD y que parezca que es la única regulación que te afecta si tienes una web, lo cierto es que hay varias regulaciones que aplican a las páginas web:
- La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI). Regula las transacciones económicas mediante medios electrónicos
- El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD-Reglamento general de protección de datos).
- La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD), introduce novedades mediante el desarrollo de materias contenidas en el mismo.
- Orden Ministerial IT C/1542/2005, de 19 de mayo que aprueba el Plan Nacional de nombres de dominio de Internet bajo el código de su país correspondiente (“.es”).
Y si tienes un e-commerce además:
- Ley 7/1996 de Ordenación del Comercio Minorista.
- Ley 3/2014, de 27 de marzo, por la que se modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre.
- REGLAMENTO (UE) 2018/302 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 28 de febrero de 2018 sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimiento de los clientes en el mercado interior. Gracias a la entrada en vigor de este nuevo reglamento, los clientes tendrán derecho al libre acceso a una tienda online independientemente del país europeo en dónde resida, ya que está prohibido bloquear el acceso a una página.
Cómo ves, no son pocas las leyes que aplican a tu web y que debes cumplir si no quieres estar en modo infractor, recuerda que una web está expuesta públicamente y dar pistas de incumplimiento no parece ser algo muy inteligente.
Concretamente, tener tu web al margen de la legalidad supone:
- Que puedas ser sancionado si tu sitio es inspeccionado y no cumple la legislación.
- Que algún usuario pueda denunciarte por el uso inadecuado de sus datos personales.
- Que pierdas competitividad porque tus potenciales clientes no contratan tus servicios porque tu web está en modo ilegal y no generas credibilidad.
- Que tengas que asumir reclamaciones derivadas de textos legales que no protegen tus intereses como vendedor o prestador web.
Reglas básicas comunes para adecuar cualquier tipo de web
Si tienes un blog, una web corporativa o un e-commerce, , hay 4 reglas básicas comunes a todas las páginas webs que deberás tener en cuenta a la hora que crear todos los elementos legales que necesita tu web:
- La información legal debe ser concisa, transparente, de fácil acceso y con lenguaje claro y sencillo, lo que yo llamo “políticas friendlys”
- La información se debe facilitar de forma previa a la recogida de datos, por tanto, debes habilitar mecanismos para esa información esté disponible y accesible para el usuario antes de requerirle sus datos.
- La información debe facilitarse por capas: tus formularios deberían proporcionar información resumida junto con un enlace para luego desplegar la información completa.
- Debes solicitar el consentimiento previo en cada formulario a través de un acto afirmativo claro (ni silencio ni casillas premarcadas) y esta solicitud de consentimiento debe ser específico y asociado a una finalidad concreta. También deberá poder retirarse ese consentimiento en cualquier momento.
Adaptar un blog al RGPD
Si lo que tienes es un blog con un sistema de suscripciones, realizas tratamiento de datos personales mediante diversos sistemas de captura de información personal.
Un blog recaba datos personales de:
- Usuarios que contactan con la web mediante el formulario de contacto
- Usuarios que se suscriben al boletín del blog
- Usuarios que comentan los posts del blog
- Usuarios que simplemente navegan y dejan datos de sus ip que son recogidos por cookies analíticas o de retargeting
Para cubrir las exigencias legales en materia de LSSI, RGPD y LOPDGDD en tu blog, deberás contar con los siguientes textos legales:
- Aviso legal
- Política de privacidad
- Política de cookies
- Faldón/ pop up de cookies
- Primeras capas informativas formularios de suscripción, comentarios y contacto.
- Cláusulas informativas RGPD en correo y boletines
El aviso legal, la política de privacidad, y la política de cookies deben constar separados, para mayor entendimiento y transparencia en las páginas de inicio y en todas las subpáginas. Los tres textos se relacionan entre sí y es necesario introducir los enlaces correspondientes donde proceda .
En todos los formularios del blog en dónde se recojan datos personales, debe presentarse un resumen con los aspectos más relevantes sobre protección de datos personales (primera capa) y proporcionar un enlace al apartado dedicado a “Privacidad” de la página web (segunda capa)
El aviso legal:
Es lo que permite identificar al responsable/ propietario de la web y define los términos y condiciones de uso de la web, incluyendo cláusulas de exoneración de responsabilidad, cláusulas de limitación del uso de contenidos, política de comentarios, de imágenes , Ley de Propiedad Intelectual, entre otras cosas.
Si en tu web ejerces alguna actividad profesional regulada (abogado, médico, arquitecto…), debes consignar los datos del colegio profesional, nº de colegiado, título académico y estado de la Unión Europea dónde se consiguió, así como los estatutos profesionales o el código deontológico por el que se rige su práctica profesional, indicando los medios a través de los cuáles se pueden conocer (incluido los electrónicos).
La Política de privacidad:
La política de privacidad contiene toda la información relativa al tratamiento y gestión de los datos personales que se recaban a través del blog, es decir, mediante los formularios de contacto, suscripción o comentarios.
El RGPD establece la necesidad de informar al usuario sobre algunas cuestiones esenciales a la hora recoger sus datos personales:
- Identidad y datos de contacto del responsable y, en su caso, de su representante
- Contacto del Delegado de Protección de Datos (si procede)
- Información sobre las categorías de datos que se recogerán y tratarán en la web o blog
- Finalidades del tratamiento
- Base jurídica del tratamiento
- Destinatarios de los datos recogidos
- Intención del responsable, en su caso, de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
- Información sobre el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar ese plazo
- Derecho a solicitar del responsable el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos, así como a presentar una reclamación ante la autoridad de control.
- Información sobre la existencia de decisiones automatizadas (incluida la elaboración de perfiles) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias
- previstas de dicho tratamiento para el interesado
Mediante un plugin, debes facilitar un texto informativo en forma pop-up en el que se informe de la utilización de cookies y su finalidad, con un link que redirija a la política de cookies.
Debes saber que según la normativa actual (LSSI) el uso de las “cookies” está permitido siempre que los usuarios den su consentimiento con la descarga , una vez informados de manera clara y completa sobre su utilización, en particular sobre el tratamiento de los datos conforme a lo dispuesto en el RGPD.
Esta política debe explicar cómo se utilizan las cookies en tu blog , en especial en cuando se utilizan cookies de terceros (analíticas, publicitarias, de afiliados, etc.)
Para informar de las cookies, hay varias formas:
Existen varios métodos para informar al usuario:
- Página de bienvenida con información sobre cookies y botón de aceptar (Como las que preguntan si el usuario es mayor de edad).
- Pop-up previo que suspenda la carga completa de la página hasta la aceptación.
- Cabecera o pie de página con información y una caja de aceptación.
- Paso previo de aceptación dentro del cuadro de reproducción de vídeos, juegos y otras aplicaciones web.
Dependiendo del diseño de la web, debes optar por un método u otro. Os recomendamos que este sea lo menos invasivo posible de cara al usuario para evitar abandonos de la página u otros problemas de usabilidad.
Para plataforma de WordPress, este tipo de anuncio se suele llevar a cabo a través de plugin.
Recomendación:
El plugin gratuito WP GDPR Compliance que es ahora mismo seguramente el mejor plugin disponible a estos efectos.
Con este plugin puedes adecuar el pop up de cookies, obtener registros de consentimientos y de información, los enlaces a la política de cookies, etc.
Este plugin es completamente compatible con la última versión de Contact Form 7, Gravity Forms, WooCommerce y los comentarios de WordPress para que puedas configurar las opciones de consentimiento, así como también la integración de una pestaña de ajustes.
Formularios RGPD para tu blog
En todos los formularios de la web en dónde se requieran datos de carácter personal, debes realizar una adaptación que permita:
- Acreditar que estas informando de forma previa al tratamiento
- Acreditar que estás recabando el consentimiento con lo informado.
Por tanto, todo formulario debe:
1) Incluir una casilla de aceptación (opt-in)
2) Incluir un enlace hacia la política de privacidad.
3) Incluir una primera capa informativa con la coletilla legal del formulario según su tipología.
Como cada formulario persigue una finalidad diferente, es preciso informar de manera específica en cada uno de esos formularios sobre la finalidad, destinatarios, etc. La aplicación te permite obtener los diferentes textos legales para los diferentes tipos de formularios que tienes en la web.
Validación y autenticación de usuarios
En el caso de un blog, es imprescindible la creación de un sistema de verificación doble opt-in para acreditar la identidad y voluntad de los suscriptores y requerir confirmación a su suscripción, también obligatorio. Ten en cuenta que, además, debes asegurarte de la procedencia legítima de esa dirección y esos datos personales y para eso se recurre al envío de un mensaje que, mediante una acción explícita, como el opt in, exige confirmar el deseo de suscripción.
No confundas opt in con doble opt in porque cada uno tiene una misión diferente:
- El opt in: persigue recabar el consentimiento del usuario con lo informado
- El doble opt-in: permite autenticar al usuario y evitar suscripciones fraudulentas..
Recomendación para el envío de boletines
En cada nuevo envió de tu boletín deberás informar sobre tu identidad, como has obtenido esos datos, cuál es su finalidad y cómo pueden los destinatarios ejercitar su derecho a acceder, rectificar, cancelar u oponerse al tratamiento de sus datos.
Esta información es obligatoria y debe estar presente en cada nueva comunicación. También es obligatorio darle la posibilidad al usuario de desistir de nuevas comunicaciones en cualquier momento, por eso, debes ofrecer siempre esta posibilidad habilitando un mecanismo para gestionar las bajas.
Cómo adecuar una web corporativa sin blog al RGPD
Una web corporativa recaba datos personales de:
- Usuarios que contactan con la web mediante el formulario de contacto
- Usuarios que simplemente navegan y dejan datos de sus ip que son recogidos por cookies analíticas o publicitarias.
En el caso de una web corporativa típica que sólo incluya un formulario de contacto,
Debes incluir los mismos elementos legales que requiere un blog, excepto todos los vinculados a la gestión del blog, por tanto, vas a necesitar:
- Aviso legal
- Política de privacidad
- Política de cookies (sólo si descarga cookies de terceros analíticas o publicitarias)
- Faldón de cookies
- Primeras capas informativas formularios de contacto.
- Cláusulas informativas RGPD en correo
- El aviso legal responderá a los objetivos de identificar al prestador fundamentalmente.
- La política de privacidad contendrá en este caso, toda la información relativa al tratamiento y gestión de los datos personales que se recaban a través de la web corporativa, decir, mediante el formulario de contacto.
- La política de cookies sólo será necesaria en caso de descargar cookies de terceros, como analíticas y publicitarias.
Cómo adecuar un e-commerce al RGPD y al resto de leyes
Un e-commerce tiene la peculiaridad que permite la celebración de contratos online considerados legalmente contratos a distancia. Los contratos a distancia se celebran sin la presencia física simultánea del vendedor y el consumidor , en el caso de un e-commerce, la transacción se realiza mediante una página web y para que esta transacción sea legal, debe cumplir una serie de condiciones.
Un e-commerce recaba datos personales de:
- Usuarios que contactan con el e-commerce mediante el formulario de contacto
- Usuarios que realizan compras en el e-commerce
- Usuarios que se suscriben al boletín del blog del e-commerce si lo tiene
- Usuarios que comentan los posts del blog
- Usuarios que simplemente navegan y dejan datos de sus ip que son recogidos por cookies analíticas o de retargeting
Recuerda que si tienes un e-commerce debes además contar con un servicio de atención al cliente por teléfono o Internet que permita garantizar una atención personal directa, más allá de la posibilidad de utilizar complementariamente otros medios técnicos.
Por tanto, si tienes un e-commerce, vas a necesitar disponer de los siguientes elementos:
- Aviso legal
- Política de privacidad
- Política de cookies (sólo si descarga cookies de terceros analíticas o publicitarias)
- Faldón de cookies
- Condiciones de contratación
- Confirmación de compra
- El botón de pago
- Formulario de desistimiento comercial
- Primeras capas informativas formularios de contacto, venta, registro, suscripción.
- Formulario o sistema de atención al cliente
Para no repetirme como un papagayo, sólo te voy a explicar los aspectos específicos a la legalidad de un e-commerce.
Condiciones de contratación
Lo más relevante en un e-commerce es que corresponde al vendedor probar que ha informado al consumidor correctamente antes de la realización del pedido de todos los aspectos relacionados con el pedido.
Por tanto, si tienes un e-commerce, tienes que facilitar la información comercial necesaria que afecta a la compra según el canal de comunicación a distancia empleado, lo más común y aceptado es hacerlo a través de las condiciones generales en la contratación online mediante un enlace directamente disponible y que sea fácilmente accesible, así como, a través de las fichas o páginas web de cada producto o servicio.
Esta información comercial previa debe suministrarse en un soporte duradero y debe deberá ser legible, clara y completa, de hecho, la legislación indica que el tamaño de la letra no deberá ser inferior al milímetro y medio y el contraste con el fondo no debe hacer dificultosa su lectura.
Que informar en tus condiciones de contratación
Antes de iniciar la contratación, debes informar al usuario, pudiendo hacerlo a través de su web, de forma «clara, comprensible e inequívoca» sobre:
- Los trámites o pasos a seguir para celebrar el contrato.
- Si el documento generado, el contrato, va a ser almacenado por el prestador.
- Los medios técnicos que pondrás a disposición del usuario/consumidor para identificar y corregir errores en los datos, la lengua o lenguas en que se podrá formalizar el contrato.
- La lengua o lenguas en que se podrá formalizar el contrato.
- El derecho de desistimiento: Es imprescindible incluir este apartado. Tienes 14 días naturales (incluidos festivos) para que el usuario pueda ejercer su derecho al desistimiento de la compra. De no existir información expresa sobre este derecho, el usuario no tendrá que hacer frente a los gastos asociados a la devolución de su compra y será la empresa la responsable. Por tanto, si la tienda online no informa correctamente sobre el plazo de desistimiento, la Ley le castiga poniéndoselo más difícil: el plazo se amplía a 12 meses. ¡Cuidado con no informar! Un e-commerce legal debe explicar al usuario cómo ejercitar el derecho a desistimiento y puede ofrecer la opción de cumplimentar y enviar electrónicamente el modelo de formulario de desistimiento. Existen excepciones a la aplicación de este derecho. Si la venta de tu servicio o producto está exento de aplicarlo, debes indicarlo en las condiciones de venta y justificarlo.
- Son nulas de pleno derecho las cláusulas que impongan a la persona consumidora una penalización o renuncia al ejercicio del derecho de desistimiento.
- También debes informar sobre si el coste de la devolución corre por cuenta del comprador o por tu cuenta Si no informas, lo pagarás tú.
- El vendedor tiene un plazo de 14 días para reintegrar al comprador el importe de la compra y los gastos de envío originales (si también los pagó el comprador), pudiendo exigirse el doble si se retrasa. Como vendedor, estás obligado a devolverle al comprador los gastos de envío iniciales, pero puedes hacerle pagar al comprador lo que cuesta enviar el producto desde su casa hasta la sede de la tienda (costes de devolución).
- La garantía legal de la compra dura dos años en productos físicos nuevos. Ten en cuenta que hay algunos productos que no están totalmente sujetos a esta norma: es el caso de productos personalizados, precintados (un CD, una crema), que no se puedan devolver por motivos de salud o higiene…
Confirmación de compra
El e-commerce debe facilitar de forma gratuita al consumidor la confirmación del pedido, sus características esenciales y las condiciones generales del contrato en un soporte duradero (papel, memorias USB, DVD, tarjetas de memoria, correos electrónicos, SMS…).
Si la venta se efectúa por vía telefónica, el vendedor está obligado a tener una confirmación por escrito.
El botón de pago:
El consumidor debe tener claro que si confirma la compra tiene la obligación de efectuar el pago, esto se exige en también en la Ley General para la Defensa de los Derechos de los Consumidores y Usuarios.
Si el pedido online implica una obligación de pago, un e-commerce legal debe establecer un botón o función similar que contenga solo la expresión “pedido con obligación de pago” o una expresión similar que deje claro que la realización del pedido implica la obligación de pagar.
Puedes utilizar expresiones como “pagar ahora”, “comprar ahora” o “confirmar compra”, pero no los términos “confirmar”, “registrar” o “pedir ahora”.
Importante: Si no figuran las expresiones correctas, el consumidor no estará obligado a pagar.
Hay que generar también una confirmación de compra en el momento que el cliente completa el proceso de pago.
Formulario de desistimiento comercial
Para asegurar que el consumidor pueda tener constancia de las quejas o reclamaciones que presente se debe entregar una clave identificativa y un justificante por escrito, en papel o en cualquier otro soporte duradero.
También debes poner a disposición de los consumidores el formulario de desistimiento, tal y como te señaba en el punto N.º 5 de las condiciones de contratación .
Aquí un ejemplo tipo:
Primera capa informativa formulario de venta
Si tienes un e-commerce, deberás incluir una primera capa informativa en tus formularios de venta, .
Recuerda que siempre deberás agregar un checkbox o casilla de verificación que te permita recoger el consentimiento del usuario y poder acreditarlo.
Un ejemplo de primera capa informativa de formulario de venta sería este:
Información Básica sobre Protección de Datos:
Responsable: indica aquí tu nombre y apellidos si eres autónomo o profesional o bien la razón social si eres empresa.
Finalidad: Atención de solicitudes relacionadas con la prestación del servicio y cumplimiento de obligaciones contractuales y precontractuales.
Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en <indica un email de contacto así como el derecho a presentar una reclamación ante una autoridad de control.
Información adicional: indica tu dominio, encontrarás información adicional sobre la recopilación y el uso de su información personal ,incluida información sobre acceso, conservación, rectificación, eliminación, seguridad, y otros temas.
Marque esta casilla si deseas recibir comunicaciones comerciales:
❏ SI
❏ NO
AVISO: Debes tener en cuenta que, si tu cliente marca la opción NO, en ningún caso podrás enviarle publicidad ni correos promocionales.
En este post tienes una guía completa para adecuar tu e-commerce al RGPD y también te explico las diferencias entre un e-commerce legal o ser un top manta digital.
Capas de seguridad recomendadas para cualquier web
-
- Utilizar conexiones seguras: Se recomienda utilizar protocolos de seguridad como Secure Sockets Layer (SSL) para la autenticación web y la protección de datos. Esto protege tanto a la empresa como a los clientes y evita que personas ajenas puedan obtener información financiera o importante. Mejor aún, integrar EV SSL (Extended Validation Secure Sockets Layer), para que los clientes sepan que se trata de un sitio web seguro.
En términos generales, los certificados SSL deben incluir y mostrar (todos o al menos uno) su nombre de dominio, nombre del titular, dirección, ciudad, estado y país. También siempre muestra la fecha de expiración del certificado y por supuesto, los detalles de la autoridad certificadora que expide el certificado.
-
- No almacenar datos sensibles o desactualizados: No hay necesidad de almacenar miles de registros de los clientes, particularmente números de tarjeta de crédito, fechas de caducidad o códigos CW2 (Card Verification Value). Se recomienda eliminar los registros antiguos de la base de datos y mantener una cantidad mínima de información, suficiente para cargos al usuarios y reembolsos.
- Usar un sistema de verificación de direcciones: Utilizar un sistema de verificación de direcciones (AVS) y la verificación del valor de la tarjeta (CVV) para las transacciones hechas con tarjetas de crédito y reducir con ello los cargos fraudulentos.
Más Recomendaciones:
- Debes mantener tu seguridad: Debes tener un software de seguridad que se actualice automáticamente con regularidad.
- Actualización de tus sistemas operativos con los últimos parches: Esto es absolutamente esencial.
Conclusión
He tratado de que esta guía sea todo lo pedagógica que se pueda esperar y que te ayude a poner en forma tu página web en materia de legalidad, finalmente, la legalidad en mundo online tiene como misión crear ambientes respirables de confianza, así que no te lo pienses, pasa a la acción y convierte tu web, tu blog o tu e-commerce en un sitio seguro, confiable, creíble y libre de sanciones.
RECIBIR NOVEDADES POR EMAIL