-
1. CMO ADAPTAR TU EMPRESA A LA LEGISLACIN EN INTERNET: AVISO
LEGAL, CLUSULAS DE PRIVACIDAD Y PROTECCIN DE DATOS.
La escalada del comercio electrnico contina imparable,
incentivada adems por una situacin econmica donde todas las
empresas persiguen nuevas oportunidades de negocio. Si ests
pensando en lanzarte al emprendimiento en Internet, recuerda
adaptar tu pgina web a la legislacin espaola obligatoria: la
LSSI-CE y la LOPD. Supera las barreras legislativas siguiendo
nuestras recomendaciones.
Cada vez ms Pymes eligen Internet como medio preferente para
desarrollar operaciones comerciales y ofrecer servicios que les
reporten beneficios econmicos directos o indirectos. Estas
entidades -empresas o particulares- se definen como prestadores de
servicios de la sociedad de la informacin en la legislacin espaola
y han de exponer un AVISO LEGAL en su sito web. Concretamente,
dicho documento es Obligatorio para:
- Pginas web de empresa y blogs corporativos
- Blogs y webs personales que muestren enlaces a otros sitios
web publicitarios oque contengan informacin relacionada con la
temtica del blog o web personal.
- Plataformas de comercio electrnico.
-
As, a excepcin de los sitios sin contenido comercial ni
publicitario, todos los dems han de someterse a la Ley de Servicios
de la Sociedad de la Informacin yel Comercio Electrnico (LSSI-CE) y
a la Ley Orgnica de Proteccin de Datos (LOPD). Esta ltima afectara
a aquellas entidades que manejen datos de carcter personal: nombres
de personas, direcciones de correo electrnico, telfonos u otros
datos personales.
La aplicacin de la normativa en el sitio web (in site) se
materializa en el Aviso Legal y la Poltica de Privacidad, adems de
en la adaptacin y declaracin de ficheros ante la Agencia Espaola de
Proteccin de Datos (off site).
La adaptacin nos permitir evitar denuncias y sanciones, que se
traducirn en multas deentre 601,01 y 601.012,10 dependiendo del
tipo de infraccin detectada.
Qu debe contener el AVISO LEGAL y la POLTICA de PRIVACIDAD de tu
pgina web?
En la elaboracin de ambos documentos legales no existe una norma
estricta que especifique la situacin fsica idnea dentro de la web,
incluso puede elaborarse un documento nico que los fusione, como
vemos en el modelo de contrato de Aviso Legal para sitios web del
Instituto Nacional de Tecnologa de la Comunicacin.
El Aviso Legal de una pgina web contemplar los siguientes
datos:
- Nombre o Denominacin Social
- Nombre Comercial
-
- Domicilio Social
- CIF o NIF
- E-Mail de contacto
- Telfono y/o Fax
- Inscripcin exacta en el Registro Mercantil
- Dominio
- Autorizacin Administrativa, si se requiere.
- Colegio Profesional y N de Colegiado, titulacin acadmica y
Estado de la UE donde se expidi o, en su defecto, homolog.
- Cdigo de Conducta al que se adhiere el profesional
(Opcional).
Los tres ltimos puntos solo se exponen en profesiones reguladas
como la Medicina o el Derecho.
El Aviso Legal se encabezar por la Ley en virtud de la cual se
elabora: el artculo 10 de la Ley 34/2002, de 11 de julio, de
servicios de la Sociedad de la Informacin y Comercio Electrnico
(LSSI-CE).
Por su parte, la Poltica de Privacidad informar acerca del mtodo
empleado por la empresa para la recopilacin de datos personales, el
uso al que se destinarn y las opciones que el usuario ostentar
sobre su tratamiento.
En la elaboracin de estos documentos legales no existe una norma
estricta, losmodelos aptos distan mucho entre s, algunos comprenden
apartados como las Condiciones de Compra y Venta, otros las
especifican en los Condiciones y Condiciones web. Si deseas
elaborar un documento muy completo que aglutine el Aviso Legal y la
Poltica de Privacidad deberas contemplar los siguientes
apartados:
- Datos Identificativos de la empresa.
- Usuarios: Perfil del usuario al que se dirige el site y las
condiciones generales que le afectan de la web.
-
- Uso del Portal y responsabilidad del Usuario: contenidos,
responsabilidad y obligaciones del usuario respecto al contenido
web, adems de las medidas que podrn adoptarse en caso de
incumplimiento.
- Proteccin de Datos: se corresponde con la Poltica de
Privacidad propiamente dicha. La empresa expone el tratamiento que
realizar de los datos cedidos por los usuarios / clientes, as como
los derechos de informacin, rectificacin, cancelacin, oposicin,
etc.
- Propiedad Intelectual e Industrial sobre la web, productos,
etc.
- Exclusin de Garantas y Responsabilidad: casos en los que la
empresa se exime de responsabilidad con respecto a las
informaciones incluidas, las cadas de servidores, etc.
- Modificaciones: Poltica de modificacin de los contenidos,
diseos, etc., de la web.
- Enlaces: poltica del sitio respecto a los sitios
enlazados.
- Derecho de Exclusin de determinados usuarios y las causas que
la motivaran.
- Generalidades: compromiso de la empresa con este aviso legal /
poltica de privacidad.
- Modificacin de las condiciones y duracin: la empresa se
reserva el derecho de cambiar las condiciones o su vigencia.
- Legislacin aplicable y jurisdiccin: pas y juzgados bajo cuya
jurisdiccin est la web.
-
Para elaborar este documento siempre puedes consultar el modelo
oficial del Instituto Nacional de Tecnologa, recurrir a generadores
automticos como los de Dinahosting.com o a una empresa
especializada.
Para ajustarnos a la LSSI-CE, adems del Aviso y la Privacidad
confeccionaremos unas Condiciones Generales de Venta (productos) o
Contratacin (servicios) para presentrselas al usuario antes de
arrancar el proceso y/o en una pestaa adicional. Estas condiciones
expondrn informacin clara sobre:
- El proceso de compra o contratacin, plazos de entrega, formas
de pago, etc.
- Informacin referente a los precios, con especificacin expresa
de los impuestos y gastos de envo.
- Obligaciones del vendedor y el comprador.
- Respuesta de la empresa cuando el pedido sea defectuoso.
- Idioma del contrato.
Por ltimo, la LSSI-CE estipula que la empresa ha de confirmar al
comprador o contratante la operacin realizada envindole un correo
electrnico durante las siguientes 24 horas o mediante una ventana
de confirmacin en la web.
-
2. GUA PARA IMPLANTAR LA LOPD EN TU NEGOCIO ONLINE.
Continuamos la serie de artculos sobre la legislacin en
Internet, explicando cada uno de los pasos para lograr la correcta
adecuacin de cualquier negocio online a la LOPD. Con esta
informacin conocers en qu consiste este proceso y los trmites a
seguir para adaptar ficheros, legitimar datos y establecer polticas
de seguridad de los datos de carcter personal. Un aporte ms para
adentrarte en la LOPD.
Tras adaptar la web siguiendo las pautas vistas en el artculo
Cmo adaptar tu empresa a la legislacin en Internet, es momento de
adecuar nuestro negocio online a la legislacin espaola mediante el
diseo e implantacin de un sistemade control y proteccin de los
datos de los clientes, proveedores, empleados e, incluso,
candidatos a formar parte de la empresa que nos ceden su
currculum.
Para evitar que estos ficheros se manipulen de forma inadecuada,
se cedan o vendan a terceros sin consentimiento previo, surgi esta
normativa.
Los datos personales representan un valioso activo para la
empresa, indispensable en muchos casos para desempear su actividad,
y debes garantizar su confidencialidad. A su vez, la adecuacin a la
LOPD puede detectarproblemas o carencias del negocio que afecten al
proceso organizativo.
Al ordenar todos los datos de los clientes y clasificarlos,
aumentars la productividad de las operaciones empresariales y
generars mayor confianza entre tus clientes. Estas razones se
refuerzan definitivamente si recordamos quela proteccin de datos es
un Derecho Fundamental recogido en la Constitucin.
-
Esta Ley se aplica a todas las empresas, independientemente de
su tamao, sean digitales o no, y la nica diferencia estriba en los
niveles de seguridad que afectan a cada fichero dependiendo de la
sensibilidad de sus contenido.
- Nivel Bsico: Nombre, apellidos, datos de contacto y otros que
no se consideren de nivel medio y alto.
- Nivel Medio: Datos relativos a infracciones administrativas o
penales; de los que sean responsables entidades financieras,
tributarias o la Seguridad Social; aquellos pertenecientes a los
operadores que prestan servicios de comunicaciones electrnicas;
informacin acerca de las caractersticas o personalidad del titular,
que permitan evaluar esta o sus comportamientos.
- Nivel Alto: Compilaciones de datos referidos a la ideologa,
afiliacin sindical, religin, creencias, origen racial, salud y vida
sexual, actos de violencia de gnero u otros recabados con fines
policiales y sin consentimiento previo del titular.
La mayora de las tiendas online barajarn ficheros de nivel de
seguridad bsico,lo que simplifica mucho el proceso de implantacin,
diseccionado en tres fases:
-
FASE 1.
Adaptacin de ficheros. Antes de dar de alta un fichero has de
identificar el tipode datos personales que contiene y su
organizacin en soportes automatizados (digitales), no automatizados
(en papel) o mixtos. Hecho esto, realiza la notificacin de los
ficheros ante el registro de la AEPD (www.agpd.es) completando un
formulario.
El proceso de notificacin es gratuito y se efecta de forma
interactiva a travs de la pestaa Notificaciones Telemticas a la
AEPD (Nota), donde elegirs el Formulario de Titularidad Privada.
Como ser la primera vez, indica que es un Fichero de Alta y
especifica el tipo (nminas, clientes, pacientes, etc.). Una vez
dado de alta, podrs modificarlo o suprimirlo cuando pierda su
vigencia.
Al especificar el tipo de solicitud, se te desplegar un
formulario ms detallado donde se especificars el responsable del
fichero, los derechos A. R. C. O. (ver ms abajo), el encargado del
tratamiento, la finalidad del fichero, etc. Completa el fichero con
los datos especficos de la empresa y, si te surge alguna duda,
consulta la gua rpida de notificacin de ficheros de titularidad
privada.
-
Finalizado y grabado el formulario, podrs presentarlo ante la
AEPD de forma telemtica, con o sin firma electrnica, y por correo
ordinario.
Fase 2.
Legitimacin de datos. La clave aqu reside en contar con el
consentimiento previo del titular de los datos englobados en el
fichero y en cumplir con los principios y obligaciones que rigen la
recogida y tratamiento de los datos, que son:
- Informar al interesado sobre la recogida de datos.
- Solicitarle el consentimiento para que la empresa los utilice
y/o en casos de cesin de datos a terceros.
- Atender a sus derechos de Acceso, Rectificacin, Cancelacin u
Oposicin (derechos A.R.C.O.)
- Contemplar las disposiciones previstas en la Ley para los
casos donde se tramiten o transfieran fuera del Espacio Econmico
Europeo. Precisars de la autorizacin previa del director de la
Agencia Espaola de Proteccin de Datos o notificacin a la AEPD y a
los interesados, dependiendo del caso.
Fase 3.
Polticas de Seguridad de Datos. En esta fase establecers las
medidas de carcter tcnico y organizativo que garanticen las
seguridad de los datos de carcter personal y aquellas que deber
adoptar la empresa, tales como preparar un Documento de Seguridad
que regir su poltica interna.
-
3. DOCUMENTO DE SEGURIDAD DE LA AGPD: QU ES Y QU CONTIENE?
Cerramos la serie dedicada a la adaptacin de negocios online a
la legislacin de Internet presentando el Documento de Seguridad de
la Agencia Espaola de Proteccin de Datos. Este archivo de uso
interno ayuda a establecer un protocolo necesario para garantizar
la seguridad de los ficheros que contengandatos de carcter
personal. Entra y conocers al detalle en qu consiste este documento
y cul es su misin.
El Documento de Seguridad es un archivo interno que recopila las
normas de obligado cumplimiento por el personal con acceso a los
sistemas de informacinque contengan datos de carcter personal
(facturas, nminas, datos de clientes,etc.). Sus indicaciones
establecen un protocolo de actuacin que garantiza la seguridad de
los ficheros y evita su prdida, alteracin, tratamiento o acceso no
autorizados.
El texto de esta gua de seguridad interna recoger:
- El mbito de aplicacin: se especificarn los sistemas de
informacin, soportesy equipos empleados para el tratamiento de los
datos de carcter personal. Los ficheros se hallan bajo la
responsabilidad de la empresa, independientemente de los usuarios
que accedan a ellos y de su mbito de aplicacin.
- Los procedimientos de actuacin, medidas, normas, reglas y
estndares que garantizarn la seguridad exigida en el
reglamento.
- Las funciones y obligaciones del personal.
-
- La estructura de los ficheros y descripcin de los sistemas de
informacin utilizados.
- Los procedimiento para la notificacin, gestin y respuesta de
las incidencias que puedan producirse con los ficheros (p. e.
notificrselo al responsable de seguridad, que restablecer el ltimo
backup).
- Las medidas se adoptarn en caso de traslado de soportes o
documentos, destruccin, etc., que ha de ser autorizado por el
responsable de seguridad.
- Identificar al responsable de seguridad.
- Los controles peridicos que garantizan el cumplimiento de las
disposiciones.
La AGPD ofrece una gua para elaborar el documento de seguridad y
un modelo prediseado donde solo tendrs que rellenar algunos campos
personalizables.
Para velar por su adecuado cumplimiento, se definir desde el
principio un Responsable de Seguridad, quien elaborar y actualizar
el documento con las medidas, normas y procedimientos; establecer
los usuarios con acceso a cada informacin, el cual podr fijarse por
niveles dependiendo del usuario, as comoconceder, anular o alterar
accesos.
Esta figura rendir cuentas en las auditoras bianuales y en las
posibles inspecciones que la LOPD pueda efectuar en nuestra
empresa, generalmente a peticin de terceros.
-
Por otra parte, la empresa asumir la responsabilidad de divulgar
la normativa de seguridad entre el personal, especificando las
funciones y obligaciones mediante una formacin especfica o algn
medio que garantice su conocimiento por parte de todos los
empleados.
Al establecer un protocolo de notificacin, gestin y respuesta a
las incidencias, el responsable de seguridad crear un registro de
incidencias y fijar un procedimiento para la recuperacin de los
datos de nivel alto y medio se daen.Por ejemplo, si se desaparecen
las nminas de la empresa, estar previsto un modo de
reproduccin.
La normativa obliga a llevar a cabo una copia de seguridad
semanal, que verificar semestralmente, y a que la copia se guarde
en una ubicacin diferenteal original.
Para un mejor control de los accesos al sistema por el personal
autorizado, este dispondr de una autentificacin de identidad. La
empresa definir un procedimiento de gestin, un inventario de los
soportes, de la informacin y de los criterios de almacenamiento, si
han de estar bajo llave (ficheros manuales), etc.
-
El personal responsable custodiar los documentos con datos de
carcter personal y, en caso de que los ficheros automatizados sean
de nivel alto, cifrar las comunicaciones para evitar filtraciones a
terceros.
El ltimo de los puntos claves de todo el proceso de adaptacin
reside en el control posterior de su aplicacin. La legislacin
espaola estipula la obligacin de someterse a una auditora interna
-por personal especializado- o externa -por un auditor autorizado-
cada dos aos cuando nuestros ficheros automatizados y no
automatizados sean de nivel medio o alto.
Tu negocio online est preparado para la LOPD y la LSSI-CE?