Legalidad en el sitio web II: Política de Privacidad

A la hora de crear cualquier página web, ya sea un sitio corporativo, de comercio electrónico o un simple blog, nos encontramos de improviso con la obligación de adecuarlo a la legislación vigente; es decir, de elaborar una serie de escritos jurídicos, en concreto los tres siguientes:

  • Aviso legal

  • Política de Privacidad

  • Política de Cookies

¿Qué es la Política de Privacidad?

Puede definirse como: El escrito jurídico o aviso, en el que se informa al usuario del sitio web de una manera clara y pormenorizada, de todo lo relativo al tratamiento de los datos de carácter personal que se le hayan requerido en algún momento. Debe ubicarse en una zona visible y permanente del sitio web. Infografía ilustrativa.

¿Quién esta obligado a redactarla?

De conformidad a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), cualquiera que recabe datos de carácter personal (información concerniente a personas físicas identificadas o identificables) y los almacene en un soporte físico (todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso), estará obligado a redactarlo y cumplir con una serie tasada de obligaciones.

Cabe destacar que el concepto de datos de carácter personal se extiende a cualquier referencia que permita identificar a una persona, como por ejemplo el correo electrónico o la dirección IP.

Los casos más típicos, y que suponen que prácticamente todo el mundo está obligados a tener una política de privacidad, son: las suscripciones por correo electrónico o newsletter y el formulario de comentarios.

¿Qué se ha de incluir en la misma?

Como punto de referencia, se han de tomar una serie de artículos de la LOPD, pudiendo conformarse la política de privacidad siguiendo el orden sistemático de esta norma. A modo enunciativo, se puede hacer referencia a una serie de apartados básicos:

1) Finalidad, destinatarios, responsable y ejercicio de derechos: este es el apartado principal y el que más complejidad encierra debido a la multiplicidad de factores a tener en cuenta – (A, B y C)

A) Alta del fichero AEPD: de conformidad a lo establecido en el artículo 5 de la LOPD, se debe informar al usuario de que los datos personales facilitados a través del sitio web se almacenarán en un fichero convenientemente inscrito en el Registro General de la Agencia Española de Protección de Datos ; para ello se debe rellenar un formulario en la propia página de la agencia  y presentarlo por certificado electrónico, de manera presencial en la agencia o por las vías del artículo 38.4 de la Ley 30/92. Se debe realizar esta inscripción con carácter previo a recabar datos personales.

Como circunstancias a tener en cuenta a la hora de realizar el alta del fichero, cabe mencionar:

  • Responsable del fichero: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Deberá ser necesariamente el titular del sitio web.

  • Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Podrá ser el propio titular del sitio web, pero lo normal es la deriva externa de esta función a una sociedad, como por ejemplo: Mail Relay o Mail Chimp.

    En el caso de este último, estaríamos hablando de una transferencia internacional de datos al ser una sociedad no radicada en la Unión Europa. Lo que supone, el tener que recabar una autorización expresa del director de la AEPD, así como firmar un contrato con la determinada sociedad y presentarlo junto con una traducción jurada para su posterior inscripción. Para evitar el tener que realizar todo este procedimiento, caben dos opciones:

    -Que el país en el que se encuentre esa sociedad esté reconocido como Safe Harbor o país con protección adecuada. En este caso no habría que realizar nada a la hora de darse de alta. (Estados Unidos actualmente ya no se encuentra en este grupo Listado de la AEPD).

    -Sea una de los supuestos excepcionados de los artículos 34 de la LOPD y 66.2 de su reglamento (RLOPD). El caso más usual es el referido en la letra e: Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. Es decir, solamente se requeriría informarle expresamente en el apartado pertinente de la política de privacidad.

  • Nivel de protección del fichero: en el formulario se debe hacer constar el nivel de protección del fichero. Para resolver esta cuestión se debe acudir a la guía de responsable de ficheros de la AEPD, que establece una nivel de seguridad distinto dependiendo de la los datos personales contenido – El típico caso de un blog requiere un nivel de protección bajo.

B) Consentimiento del usuario: de conformidad a lo establecido en el artículo 6 de la LOPD, se deberá informar que la aceptación de la política de privacidad, se entenderá a todos los efectos como la prestación de consentimiento expreso e inequívoco al tratamiento de los datos de carácter personal, y que fuera de los casos legalmente establecidos, estos datos no serán comunicados ni cedidos a terceros sin consentimiento expreso.

C) Derecho Arco: de conformidad a lo establecido en los artículos 15, 16 y 17 de la LOPD, se debe informar al usuario de que tiene derecho a acceder al fichero para consultar sus datos, rectificarlos o cancelarlos, así como a oponerse a todo tratamiento respecto de los mismos, con las excepciones y límites establecidos en la legislación aplicable; podrá ejercer dichos derechos mediante correo electrónico dirigido a la cuenta que se haya suministrado en el sitio web.

2) Suscripciones al sitio web y encargado del tratamiento: se deberá hacer mención a la forma en que se realiza este servicio, así como a las sociedades que se encargan del tratamiento, junto con un enlace a su política de privacidad.

3)Alojamiento del servidor: mención a la empresa con la que se ha contratado el servidor y su política de privacidad.

4) Seguridad: de conformidad con lo previsto en el Art. 9 de la LOPD y el Título VIII del RLOPD, se debe mencionar que el titular del sitio web se compromete a mantener los niveles de protección de los datos personales de los usuarios, y que persiguiendo esta finalidad ha establecido todos los medios técnicos a su alcance para evitar la alteración, pérdida, mal uso, acceso no autorizado, hurto de datos u otro similar.

Conclusiones

  • Se trata de una materia de obligado cumplimiento para todo aquel que recabe datos personales ( formularios de contacto, suscripciones….).
  • El alta del fichero ante la AEPD, ha de realizarse con anterioridad a recabar cualquier dato personal.
  • Si se utiliza un encargado de tratamiento de datos extra-comunitario, es recomendable informarse periódicamente de los cambios que puede sufrir el estado al que pertenece, en materia de protección de datos.
  • Con la entrada en vigor del nuevo Reglamento europeo de Protección de Datos, se realizan una serie de modificaciones sobre esta materia, pero sólo serán de aplicación efectiva una vez haya trascurrido el plazo legal de 2 años tras su publicación en el DOUE (Diario oficial de la Unión Europea),

Bibliografía

Legislación

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

 

Otras fuentes

Agencia Española de Protección de Datos – http://www.agpd.es/portalwebAGPD/index-ides-idphp.php

Política de Privacidad Blog En Clave de Derecho – http://enclavedederecho.com/politica-de-privacidad-y-cookies-2/

Deja un comentario