Cómo incluir información legal en tu página web y cumplir con la LOPDGDD
Cuando una empresa decide crear una página web para su negocio, además de fijarse en los aspectos técnicos, como por ejemplo, el grafismo o la estructura de la web, debe tener en cuenta otros aspectos igual de importantes, como son las normativas legales que está obligada a cumplir.
La Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) de 5 de diciembre en 2018 transpone al marco legal español el Reglamento General de Protección de Datos (RGPD) de 27 de abril de 2016, En materia de privacidad de datos, la empresa responsable de la web debe cumplir una serie de requisitos, y por ende, ofrecer un acceso seguro a sus clientes y usuarios comprometiéndose a mantener los datos personales recopilados de forma segura y confidencial.
Si la página web recoge algún tipo de dato de carácter personal, ya sea a través de un formulario de registro, de contacto o por cualquier otro método o medio, se debe informar de esto, en un apartado dentro del formulario o en el aviso legal de la página web, indicando la política de privacidad que se aplica. También, debe incluirse entre la información legal de la página web, otras normas o políticas aplicables a las que esté sometida, como pueden ser la Ley de Servicios de la Sociedad de Información y Comercio Electrónico (LSSICE) o la Ley de Propiedad Intelectual (LPI).
Hay que recordar que la política de privacidad es un contrato vinculante con los usuarios y clientes, en el que la empresa se compromete a cumplir con las disposiciones legales en materia de privacidad y protección de datos.
Según el art. 4 del RGPD, tienen la consideración de datos personales toda aquella información que permita identificar, de forma directa o indirecta, a una persona física como, por ejemplo:
- nombre y apellidos;
- números de identificación, ya sea a través de un Documento Nacional de Identidad, de una tarjeta de la seguridad social o de un pasaporte;
- datos de localización, ya sea a través del domicilio o de unas coordenadas geográficas;
- identificadores en línea como, por ejemplo, de una cookie o de la publicidad del teléfono móvil;
- o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Para que la web pueda recoger información personal de los usuarios, ésta debe recabar el consentimiento expreso de los usuarios, informando de la recogida de los datos personales, e indicando la forma en la que el usuario puede ejercer sus derechos.
En el texto debe emplearse un lenguaje fácil de entender, y diferenciarse claramente de otras informaciones, como por ejemplo, las condiciones de uso. En ningún caso, las casillas de consentimiento pueden estar marcadas previamente, ya que es el usuario quién debe hacerlo por sí mismo.
La política de privacidad debe incluir la siguiente información en el cuerpo del texto:
- Recogida de datos que se realizan por parte de los responsables de la página.
- Finalidad del tratamiento, es decir, la base legal por la que se recogen los datos que facilite el usuario.
- Cesiones de datos a terceros, en caso de que se produzcan, indicando el tipo de información que se intercambia y qué empresas son, además debe indicarse si están radicadas dentro del Espacio Económico Europeo o en países terceros.
- Mantenimiento de la confidencialidad, proceso por el que se garantiza la seguridad de la información recopilada en la página.
- Ejercicio de los derechos en materia de protección de datos de los que puede hacer uso el usuario (acceso, rectificación, limitación, oposición, portabilidad, supresión).
En la política de privacidad se suelen incluir formalismos como, por ejemplo:
“El responsable del tratamiento pone en su conocimiento que los datos personales que le solicitamos o que nos facilite, sirven para gestionar, prestar y mejorar los servicios que nos ha solicitado….” o “El responsable del tratamiento, solicitará el consentimiento expreso del usuario a la presente Política de Privacidad, cuando así sea necesario y a cualquier otro aspecto que requiera la previa autorización del mismo”.
En el caso de que se ceda información personal de los usuarios a otras empresas o esta información sea trasladada a servidores situados en países que no pertenezcan al Espacio Económico Europeo se debe informar claramente a los usuarios de esta cesión según los supuestos y garantías que puedes encontrar en las páginas de AEPD.
Por último, se debe informar a los usuarios cómo, dónde y a través de qué medio pueden ejercer sus derechos en materia de protección de datos (acceso, rectificación, limitación, oposición, portabilidad, supresión). Por ello, es importante incluir todos los medios que se ponen a disposición de los usuarios para ejercer estos derechos, como puede ser a través de correo postal, de correo electrónico o de teléfono. Normalmente, se indica al usuario que desea ejercer sus derechos usando, por ejemplo, el siguiente formalismo:
“Si desea ejercitar sus derechos en materia de protección debe dirigirse al delegado de protección de datos, indicando su nombre y apellidos, una copia del DNI y el derecho en materia de protección de datos que desea ejercer mediante:
- Correo electrónico al buzón de delegadodeproteccióndedatos @ empresa.es.
- O correo postal a la dirección: XXXXX”
Recuerda que incluir una política de privacidad en tu página web es un requisito clave para cumplir la LOPDGDD y evitar, de esta manera, ser sancionado en caso de incumplimiento por las autoridades competentes, en el caso de España por la Agencia Española de Protección de Datos (AEPD). Las multas que acarrean los incumplimientos van desde los 40.000€ en el caso de una infracción leve hasta los 20.000.000€ o el 2% a 4% facturación bruta anual en el caso de las muy graves.
Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.