Hoy en día es sencillo crear un negocio online, pero hacerlo correctamente y cumpliendo las leyes, es otra historia, no es difícil, aunque si tomará un poco de su tiempo. Para empezar tendremos que cumplir la Ley LOPD, entre ellas y dependiendo del tipo de negocio, habrá que indicar cómo se tratará la información o datos almacenados por nuestra web o negocio online.
Pongamos unos ejemplos:
a) Los datos van a ser tratados o accesibles por:
- Administrador de la tienda
- Informático o soporte
- Almacenado en una base de datos
- etc…
b) Datos almacenados:
- Nombre y apellidos
- Dirección
- Teléfono
- etc…
Si creamos un Blog, quizás no tengamos que recoger ningún dato de los clientes, ya que no necesitan registro para ver los artículos.
Pero si el negocio es una Tienda Online, si que hará falta avisar de los datos que vamos a gestionar y de las personas que pueden tener acceso a ellos.
Por lo que debemos saber quien va a tener acceso a los datos privados de los usuarios y también el tipo y naturaleza del dato recogido.
También deberemos avisar si esos datos son solo para uso interno de gestión, o si la intención también es de ofrecer a terceros. En este último caso, las restricciones y controles son mucho más elevados.
Partiendo de la base que para montar una Tienda Online, los datos recogidos serán para poder gestionar los pedidos y/o la información de contacto, deberemos cuidar y proteger dichos datos, para que no tengan acceso terceras personas.
Pasos a seguir para adaptarse a la LOPD
- Inscribir en el ficheros de la AEPD
- Redactar el fichero de Seguridad
- La calidad de los datos
- El derecho de información en la recogida de los datos (art.5)
- Consentimiento del afectado (art.6)
- El deber de Secreto
- El ejercicio de los derechos de ARCO
1.-Inscripción de los ficheros en el Registro General de la Protección de Datos. Artículo 26 LOPD. Artículos. 5 y 6 R.D 1332/1994, de 20 de Junio.
Se puede consultar aquí:
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/index-ides-idphp.php
Selecciona el Formulario NOTA de Titularidad Privada (Aqui)
Una guía para rellenar el formulario (Aqui) donde nos explican como rellenar y las 3 maneras que para enviarlo:
- Internet + certificado digital: se hace por Internet y es inmediato tener un certificado digital instalado en el ordenador.
- Internet sin certificado digital: se rellena por Internet y el sistema devuelve una solicitud para imprimir que hay que enviar a la AEPD
- Presentación en papel: se rellena la solicitud, se imprime y se envía a AEPD.
Esta es la dirección donde hay que enviar las solicitudes:
Agencia Española de protección de datos
C/ Jorge Juan, Nº 6
28001- Madrid
2.-Redactar el documento de seguridad.
“El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información” R.D 994/1999, de 11 de Junio.
Redacción de cláusulas de protección de datos. Artículo 5 LOPD.
Una vez recibido la confirmación de la inscripción redactaremos el Documento de Seguridad, aquí una guía:
Para completar el apartado, tendremos que partir de la guía base y adaptarla a nuestro caso particular, dependiendo del tipo de negocio y de la cantidad de datos a gestionar en el negocio online o página web.
3.-La calidad de los datos
La Ley establece unos principios generales de Calidad que tiende a garantizar al uso adecuado de los datos, fijando que:
- Los datos personales deben de ajustarse a la finalidad para la que fueron recopilados.
- Deben ser exactos y actuales,
- No deben mantenerse indefinidamente sin justificación, y
- Deben haber sido recogidos de forma lícita. A través de la aceptación expresa del cliente.
Para cumplir con este apartado habría que diseñar un procedimiento de recogida de datos que se adecue a lo que necesitamos para nuestro propósito, o sea, un formulario donde se muestren todos los datos que vamos a recoger e informar al usuario mediante las condiciones de uso que sus datos van a ser utilizados para “xxx” fin y van a ser mantenidos hasta que el utilice sus derechos de ARCO o su cuenta sea borrada del sistema mediante un formulario una vez logueado para evitar la baja de su cuenta por terceros.
4.-El derecho de información en la recogida de los datos (art.5)
La LOPD establece una obligación previa de informar al afectado a la hora de recabar sus datos personales de una serie de extremos, para que el afectado pueda suministrar o no sus datos con el pleno conocimiento del alcance del tratamiento que se va a realizar.
Se debe informar al interesado de forma previa, expresa, precisa e inequívoca de:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los datos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- De la identidad y dirección del responsable del tratamiento, o en su caso, de su representante.
Como indicamos anteriormente, si los datos son recabados mediante cuestionarios, formularios u otros impresos (en formato papel o electrónico), las menciones anteriores deberán figurar en los mismos de forma claramente legible.
Para cumplir con este apartado habría que introducir en el formulario un texto similar :
“De conformidad con la Ley Orgánica 15/1999 de Protección de Datos Personales y a través de la cumplimentación del presente formulario, Vd. presta su consentimiento para el tratamiento de sus datos personales facilitados, que serán incorporados al fichero “XXXXXXX”, titularidad de la EMPRESA XXX, inscrito en el Registro General de la Agencia Española de Protección de Datos, cuya finalidad es la gestión fiscal, contable y administrativa de la relación contractual, así como el envío de información comercial sobre nuestros productos y servicios.
Igualmente le informamos que podrá ejercer los derechos de acceso, rectificación, cancelación y oposición establecidos en dicha Ley a través de carta certificada, adjuntando fotocopia de su DNI/Pasaporte, en la siguiente dirección: EMPRESA XXX. Departamento de Atención al Cliente LOPD. C/XXXXXX nº X. 46000 Valencia.
Aún qué también se podría incluir un enlace a las políticas de uso (con el texto “utilizando el servicio acepta las políticas de uso”) en las cuales se establecería una cláusula con el texto anterior. De esta forma el formulario queda mucho más limpio y cumpliría con la LOPD.
5.-Consentimiento del afectado (art.6)
El principio del consentimiento es el eje fundamental de la Protección de Datos estableciéndose como exigencia. Así lo indica al establecer, en el art.6.1 que –“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”-.
El consentimiento no es más que la manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de sus datos personales.
La ley fija como tipo general el consentimiento libre, específico, informado e inequívoco, salvo que la propia ley disponga tipos especiales. Así, podemos decir que el consentimiento será:
- a) Libre: deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento.
- b) Específico: referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del Responsable del Fichero.
- c) Informado: el usuario debe conocer, con anterioridad al tratamiento, la existencia y las finalidades para las que se recogen los datos.
- d) Inequívoco: es preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento (no resulta admisible el consentimiento presunto).
En principio, el consentimiento dado abarca todas y cada una de las operaciones que engloban el tratamiento; encontrando sólo una excepción, que es en el caso de la cesión de datos, donde el consentimiento para la cesión será previo e informado.
Hay que señalar que el consentimiento general exigido por la ley va íntimamente ligado a la obligación de informar, a la hora de la recogida de los datos, de los extremos señalados en el art.5 (derecho de información en la recogida), puesto que entiende la Ley que a partir de dicha información el afectado es consciente y toma conocimiento de la existencia del tratamiento que se va a realizar, las finalidades y los derechos que le asisten.
Para cumplir con este apartado habría que incluir las clausulas necesarias en las políticas de uso, haciendo referencia a ellas en el formulario de recogida de datos.
6.- El deber de secreto
Se establece un deber de secreto y de custodia al que se ven sujetos las personas que participan en el proceso de tratamiento de los datos de carácter personal; deberes que subsistirán una vez finalizado el tratamiento de los datos. Así, se establece que –“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus respectivas relaciones con el titular del fichero o, en su caso, con el responsable del mismo”-.
Este deber de secreto debe ser adoptado por todo el personal laboral que accede a los Ficheros de datos; además en las empresas, este deber fijado por la Ley se ve complementado por la obligación profesional de confidencialidad y secreto descrita en el art.5.a) del Estatuto de los Trabajadores, que se mantiene vigente hasta la finalización de la relación laboral.
Por ello, las obligaciones de Secreto, Confidencialidad y Custodia incumben a todo el personal; y, de manera particular, a aquellos que en el desarrollo de sus funciones accedan a Ficheros que contienen datos personales.
Para cumplir con este apartado habrá que crear contratos, cláusulas y procedimientos que le permitan dar a conocer tanto a empleados como colaboradores su deber de secreto y las consecuencias de su incumplimiento. En caso de ser un webmaster solitario, no haría falta crear nada y bastaría con no contarle nada a nadie.
7.- El ejercicio de los derechos de ARCO
El empresario debe facilitar a los ciudadanos el ejercicio de los denominados derechos Arco (acceso, rectificación, cancelación y oposición).
Conclusiones:
Ya que es un tema serio y que puede traernos serios problemas, lo más recomendable es asesorarse por un especialista en la materia.
Las penalizaciones o multas pueden llegar a ser muy elevadas. Por lo que es una cuestión a tener en cuenta antes de lanzar un proyecto online.
Si necesita contactar con una empresa especializada que le ayude a realizar la tarea, puede consultarnos y le pondremos en contacto.
Sobre Jose García
Creador de negocios online, portal de citas, tiendas sex shop, tiendas dropshipping, aplicaciones móviles (APPS) y páginas web de empresa. Desarrollo de páginas web y Apps para Android. Director cualificado de Franquicia de Impacto. CEO de Franquicia Global y Tienda Online Gratis. Profesor de desarrollo de videojuegos en Udemy y Tutellus. Especialista en WordPress y Prestashop.
- Web |
- More Posts(110)
1 comentario