Existen muchas dudas sobre qué leyes hay que cumplir y cómo hay que cumplirlas a la hora de tener un negocio online. Te voy a enseñar como tener una web que pueda evitar sanciones que puedan llevar a la quiebra tu negocio.
La situación más habitual que estoy observando es "tirar adelante sin miramientos a la hora de cumplir la Ley", ya que hacerlo es ser un pardillo o que nunca te van a pillar.
¡¡Espero que no pienses así pillín!!
De todos modos, aunque así lo fuera, haré que cambies de opinión, o al menos ese es mi objetivo.
Tranquilo, te voy a exponer una guía que puedas entender para que no suponga una traba el adaptarse a la ley puesto que a corto plazo, vas a obtener más beneficios que perjuicios.
Pronto me darás la razón 😉
¿Cómo cumplir con la Ley de Protección de Datos en mi Web?
Para ello, te tiene que quedar claro un artículo de nuestro Código Civil, sin que sea costumbre que cite normas de nuestro Ordenamiento Jurídico porque me parece que más que ayudar, aburren y hacen engorroso el camino hacia el aprendizaje, pero como digo, me parece obligatorio que conozcas lo que dice el artículo 6 de nuestro Código Civil.
"El desconocimiento de la norma, no exime de su cumplimiento"
Te puedo asegurar que no vale con decirle al organismo competente para sancionar que no conocías la ley, y por tanto nunca la has podido cumplir, es un truco muy visto que solo te va a conllevar la correspondiente sanción, es decir, te la comes fijo.
¿Quiénes están obligados a cumplir la Ley Orgánica de Protección de Datos?
Me puedo aventurar a decir que más de un 80 % de blogs y negocios online [en adelante me referiré como Sitio Web] no cumple con la ley.
Puede ser que incluso me quede corto pero es verdad, no sé si por dejadez o desconocimiento, pero es un dato impactante, porque se exponen a multas que pueden resultar descabelladas.
Si me conoces, siempre digo lo mismo, el día que la AEPD (Agencia Española de Protección de Datos) se dé cuenta de los altos niveles de incumplimiento, se pondrá manos a la obra porque es dinero fácil que va a recaudar, y en este país, el afán recaudatorio de las multas es deporte habitual de los políticos ...
Las leyes que van a a ser de aplicación en primer lugar serán la Ley Orgánica de Protección de Datos y la Ley de Servicios de Seguridad e información, más conocidas como LOPD y LSSI.
Estas dos leyes simplemente serán aplicables en todo momento, pero además, cuando vendamos productos o servicios, entrarán en juego la Ley de Consumidores y Usuarios, y Ley de Comercio Minorista.
No voy a exponer temas relacionados con impuestos ni Hacienda, porque dará para otro post más adelante, es decir, la forma jurídica que tendrá nuestra empresa, y el tipo de impuestos que hay que abonar, la inscripción en el IAE.
LOPD y los Formularios de Contacto
Dejémonos de leyes y entremos en materia, y resolvamos la pregunta que me hace el 80 % de los clientes que tengo.
La pregunta del millón
Tengo un blog y no gano dinero, solo un formulario de contacto para mi newsletter ¿Tengo que cumplir con la LOPD? En tu formulario ya recopias datos, entonces …. La respuesta creo que es clara, SI.
A continuación me enfocaré en aquellas personas que tienen una web, blog, o ecommerce, como plataforma para vender servicios donde lógicamente incluimos cualquier tipo de empresa.
¿Cómo adaptar mi empresa a la LOPD?
¿Que son datos? Por simple que parezca, muchos desconocen este concepto
Para empezar, la definición de datos viene en la propia LOPD que lo define como “cualquier información concerniente a personas físicas identificadas o identificables”
A efectos prácticos que es lo que te interesa, olvídate del concepto, y si tienes un blog o negocio donde recojas datos de personas, ya sabes de antemano que debes cumplir la LOPD, es decir, si tienes el famoso formulario de contacto o de suscripción o usas adsense.
Por lo tanto, lo primero que debes hacer es una auditoría interna para conocer los focos de entrada de datos, que no solo es el formulario, pueden existir muchos más, dependiendo del tipo de Sitio Web.
El Registro en la AEPD no es suficiente
En definitiva, si crees que por registrarte como muchos entienden, lo que en realidad es dar de alta un fichero o varios (que cualquiera puede hacerlo) ya cumples con la ley, te estas auto-engañando y exponiendo a que te denuncien sin ninguna defensa la verdad.
No existiríamos profesionales dedicados a este tipo de asuntos si fuera tan sencillo realizarlo.
Este paso lo puedes salvar con mi Ebook y podrás realizarlo en unos cómodos pasos tras haberlo explicado con imágenes
El problema como detallaremos a continuación es que debes realizar una auditoria acerca de los futuros inconvenientes legales y empresariales que pudieran conllevar una adaptación deficitaria, así como conocer al detalle tu flujo de entrada de datos para luego subir un fichero u otro, establecer los encargados de tratamiento, etc.
¿Que es un fichero? Muchos confunden y pocos aciertan
¿Qué son los Ficheros de Protección de Datos?
La definición de fichero, una vez más viene en la Ley, que viene a significar lo siguiente: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Muchos piensan o te venden porque lo he visto, que inscribir fichero seria como subir a una plataforma cada cliente o persona de los que puedas tener sus datos, es decir, tengo un cliente con su nombre correspondiente, y la supuesta empresa que tienes contratada sube los datos en fichero de la persona con sus teléfonos y demás a la agencia.
En realidad no es más que una notificación que se realiza donde se informa a la AEPD de los tipos de ficheros o datos con los que vas a manejar tu negocio, hay un montón pero dependiendo del tipo de empresa o datos, inscribirás uno u otro.
Simplemente deberás tenerlo actualizado en función de la evolución de la forma de obtener tus datos.
¿Quien es el responsable del fichero de protección de datos?
No te voy a dar una definición teórica, básicamente quiero que aprendas que esa persona eres tú. Al público al que va dirigido este post, no necesita cuestiones teóricas en este sentido.
Es decir, quiero que sepas que toda la responsabilidad de los datos que recabes, recae sobre tí, única y exclusivamente.
A continuación vamos a ver algo muy importante y quizás lo que algunos cumplan, que son textos legales que debemos tener obligatoriamente en nuestra página web.
¿Qué Textos Legales necesita mi Web?
No te equivoques, que por tener los textos, ya has cumplido la legalidad y te puedes ir de rositas. No es así, existen varios contratos que redactar, varias medidas de seguridad que cumplir, y varias pautas a conocer en caso de reclamaciones.
¿¿¿Cuántos habéis ido a cualquier página web y habéis copiado cambiando simplemente los datos???

No lo hagas porque tienes que hacerlo bien, cada web es diferente y recoge los datos de diferente forma. No es tan sencillo como parece, debes auditar bien cuáles son las fuentes de recogida de datos y los tipos de productos que vendes, no es igual un blog donde solo se informa y se actualizan entradas a auqel que igualmente vende infoproductos.
Este apartado es un pilar básico en tu web, donde debes estudiarlo y redactarlo meticulosamente porque a través de ellos deben aceptar las condiciones tus clientes/lectores o como quieras llamarlo, mediante mecanismos de check in es válido.
Pero ellos tienen que mostrar su consentimiento y deben conocer qué se va a hacer con sus datos al igual que te gustaría saberlo a ti si estuvieras en su lugar, o es que a nadie le molesta que lo fundan a spam o publicidad sin haber dado consentimiento.
Plantilla de Textos Legales
A continuación te dejo una plantilla de Textos Legales para que los puedas aplicar en tu página web:
He visto paginas con textos legales de Mc Donald ... dejando su dirección, nombre, etc.
¡¡Esto no es serio!!
Textos Legales que debe incluir una Web
1. AVISO LEGAL
Te lo voy a decir de forma resumida, para que conozcas la función del aviso legal, imagina que la Agencia de Protección de Datos o un usuario necesita identificarte, ¿Dónde lo hace? En este apartado, por lo cual, debes recoger:
- Datos que identifiquen al titular de la página web, con DNI o si es una sociedad su CIF e inscripción en el Registro Mercantil.
- Si se realiza una actividad que necesita de autorización administrativa previa, se debe hacer constar estos datos.
- Si eres un profesional colegiado, debes recoger tu número de colegiación y colegio inscrito.
- Si estás regido por un código de conducta, debes recoger como encontrarlo y si estás adherido al mismo.
- Precios (si vendes servicios)
2. POLITICA DE PRIVACIDAD
Aquí debes exponer para qué recoges sus datos de carácter personal así como la finalidad con la que los recoges. Asimismo, si el responsable del fichero (sueles ser tú) es una persona diferente, debes indicarlo también además de establecer que en cumplimiento del art. 5 LOPD.
En realidad se trata de dar cumplimiento a lo establecido en ese artículo, donde se dice que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco, por ello nuestra política de privacidad deberá contener:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento
3. POLITICA DE COOKIES
Lo que se ha venido a establecer es que no sólo hay que informar acerca de la existencia de cookies, sino que hay que identificarlas y establecer si son propias o de terceros, lo que no se suele hacer o veo en muy pocas webs.
Así lo recoge el artículo 22 de la LSSI.
Artículo 22 de la LSSI
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
Olvidaros del plugin de cookies, que con eso no es suficiente, tenéis que hacer una auditoría y ver que cookies se instalan en tu sistema tras acceder a varias secciones de tu Sitio Web.
Lo importante en el mundo de las cookies es que necesitamos obtener el consentimiento del usuario.
Sin este consentimiento, no se debe instalar ninguna cookie, esto es muy complicado de realizar pero es posible. Asimismo, la información de las cookies se realizan en dos capas, Una primera capa que es el típico plugin o popup, y seguidamente una política de cookies como tal.
3. Condiciones generales de contratación
Este apartado solo habría que incluirlo si vendéis servicios o productos, igualmente, si tenéis un Ecommerce creo que es de cajón saber que debes tener reflejadas tus condiciones de venta, política de devolución y todo lo relativo al proceso de contratación así como las formas de pago.
Cada texto es único, he visto en ocasiones blogs cuyo aviso legal era copiado literalmente de otro blog que sí cumplía con la normativa porque había sido realizado a medida, tal es así, que incluso había dejado el nombre y responsable del tratamiento de ese blog, ni siquiera se molestó en cambiarlo por su identidad.
¿Quién es el Encargado del Tratamiento de Datos?
No quiero liarte con muchos conceptos, pero es un aspecto a tener en cuenta, existen personas que acceden a datos de tu negocio sin que a lo mejor te hayas percatado, es decir, supongo que no tendrás clausulas con este tipo de personas, son aquellas que de algún modo pueden acceder a tus ficheros/datos de clientes.
El caso más común es la gestoría, es muy importante que establezcas un sistema donde quede bien claro el uso que se le debe dar a ese tipo de datos, por ello son muy importantes las cláusulas de confidencialidad y algo que pasan por alto, a la hora de terminar con sus servicios.
Pueden firmar una renuncia del uso de cualquier dato de la empresa, algo que parece obvio y nadie hace, pero que pasaría si no hay nada firmado y usa tu lista de datos para hacer SPAM? Piensa la respuesta que es fácil.
La aparición del Datismo Low Cost como algunos llamamos, es decir, aquellas personas que se dedican a la adaptación a la ley de tu página web o negocio ha conllevado que exista incertidumbre y dudas acerca de las personas que efectivamente realizan con plenitud un estudio o auditoría de tu empresa/página web/negocio.
No sería la primera vez donde me viene alguien y me dice que por un tercio del precio que ofrezco hay otros que lo hacen, siendo mi respuesta siempre la misma “ale” ve con ellos que al final lo barato sale caro.
Están automatizando el proceso cuando en realidad es algo difícil de automatizar, lo mismo está ocurriendo en otros ámbitos tras la reforma del Código Penal como es el Compliance, creo un programa con cualquier programador freelance, automatizo textos y mando automáticamente rellanado mediante encuestas los mapas de riesgos y un largo etc que para nada te eximen de responsabilidad penal como en un futuro abordaremos.
Sanciones de la LOPD por incumplimiento
Por fin acabamos esta Guía de Adaptación a la LOPD para tu web. Ahora veremos lo más importante y que más duele, las MULTAS para finalmente hablar de los beneficios de tener una web adaptada a la legalidad.
Tómate en serio esto, porque lo es, he visto negocios cerrar literalmente y quedarse con una sanción para toda la vida por no cumplir con la Ley Orgánica de Protección de Datos.
Muchos me dicen que no quieren adaptarse porque no van a pillarlos, y siempre les respondo lo mismo, eres al primero que van a intentar trincar porque no vas a tener medios para litigar y es un asunto 100% ganado para la Agencia Española de Protección de Datos.
Vas a tener que buscar un abogado para acudir a la vía administrativa y defender tus derechos, para luego acabar en los Tribunales de Justicia y perder el procedimiento, que al final te va a costar el abogado, las costas, y finalmente la multa que te van a cascar.
Me parece una idea errónea el pensar que no va a cogerte porque ya existen varias sentencias, y cada vez salen más ante incumplimientos por protección de Datos.
Con La reforma del Reglamento Europeo nos da la sensación que empiezan a ponerse duros en este tema, pero no quiero ser alarmista, porque mi idea como repetiré hasta la saciedad no es cumplir de manera preventiva, es decir, por si me pillan, sino para crear un negocio profesional, seguro y que pueda garantizar unos derechos mínimos que a cada uno nos gustan que nos reconozcan cuando acudimos a otro negocio.
Multas de Protección de Datos - Cuantía
Las multas pueden llegar hasta 60.000 €, casi nada.
Ya existen multitud sanciones que no quiero detallar aquí por no hacer daño a las empresas, pero 2 eCommerce precisamente fueron las primeras sancionadas por nuestra Audiencia Nacional a dos multas importantes, diciéndote aun así que las cuantías fueron por decirlo de algún modo "ejemplarizantes."
Yo mismo tengo clientes que han sancionado con multas de 5 cifras, y medio hundido el negocio, pero para muestras un botón:
Sancion a un blog por no tener el consentimiento del usuario
Sancion a Facebook con 1,2 millones de euros
Sanción a Google con 900.000 euros
Por una cookie que Facebook usaba le han cascado 300.000 euros, es que hablamos de multas que no son nada desdeñables.
Como puedes ver, son solo tres ejemplos de unos cientos que hay. La AEPD se alimenta de sanciones, su dotación presupuestaria es ridícula, además, yo siempre lo asemejo a los radares en carretera, es dinero fácil y sencillo.
Medidas de Seguridad Protección de Datos
Si no lo sabes, en la Ley vienen recogida una serie de medidas de seguridad que hay que cumplir en función del nivel que estés.
No es lo mismo establecer una serie de medidas si recoges datos de nivel bajo que de nivel alto. Estas últimas son muy estrictas, pero con práctica al final se realizan de forma automática sin que te quite tiempo en tu día a día.
Documento de Seguridad Proteccion de datos Nivel Básico
Básicamente, la gran mayoría de los negocios online se encuentran dentro del nivel básico, y las medidas de seguridad son las siguientes, para el supuesto de tener únicamente ficheros automatizados, como es el caso de Sitios Web:
- Debemos definir con claridad y precisión las funciones y obligaciones del personal.
- Tenemos que contar con un registro de incidencias: debe existir un procedimiento de notificación y gestión de las incidencias donde se recoja momento, persona, medidas.
- Control de acceso: se deberá recoger las prohibiciones así como qué usuarios tendrán acceso de una forma u otra a los datos.
- Gestión de soportes y documentos: se deberán identificar en la medida de lo posible los datos de carácter personal recogidos, así como se deberá documentar la forma en qué saldrán los soportes y documentos a fin de evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
- Identificación y autenticación: El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado y cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad, todo recogido en el documento de seguridad.
- Copias de respaldo y recuperación: como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos además de establecerse los procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
Nos dice la Ley que tenemos que disponer de un documento de seguridad, por lo tanto, tendremos que redactarlo adaptado a nuestro negocio y lo más importante, es que este documento tiene que estar constantemente actualizado, no serás el primero que lo tiene guardando polvo en un cajón, que a veces ni eso.
Este documento es importantísimo, porque es tu hoja de ruta, ahí tendrás todo el mecanismo que deberás activar en caso de fuga de datos, además de las pautas de actuación para los encargados de tratamiento que veremos más adelante.
Principales inconvenientes y ventajas para adaptarte a la ley
No voy a negar que adaptarte a la LOPD es un procedimiento engorroso, he visto como muchos se echan a temblar solamente cuando les digo que tienen que cumplirla, piensan que va a ser imposible, pero nada más lejos de la realidad.
Hay que tener varios conceptos muy claros, en definitiva te tiene que quedar grabado que debes exigir en todo momento el consentimiento de la persona a la que vas a recoger sus datos personales, evidentemente, no puedes recoger todo tipo de datos, sino únicamente los que vayas a necesitar, si por ejemplo vendes un producto online, con conocer lo “típico” es suficiente, no vas a preguntar cuál es su partido político, su raza, religión, nombre de su pareja, ya que son datos que no vas a necesitar para nada.
Mucho cuidado con esto y lo que pedimos.
Derechos ARCO LOPD
Debes conceder la oportunidad de ejercer los famosos derechos ARCO que lo habrás escuchado hasta la saciedad en locuciones telefónicas, y es que es un principio fundamental ya que tienes que ofrecer la posibilidad en todo momento de poder ejercer el afectado esos derechos, de Acceso, Rectificación, Cancelación u Oposición, y obviamente debes tener instalados en tu empresa los mecanismos oportunos para que se pueda llevar a cabo.
Tienes que tener mucho cuidado con las comunicaciones comerciales, no debes hacer SPAM ni mucho menos una de las prácticas que veo son comunes, comprar listas de LEADS, ni mucho menos vender las tuyas, porque la sanción por eso es muy gorda.
Las redes sociales son un caldo de cultivo de sanciones y procedimientos sancionadores por SPAM, los contactos no te pertenecen, por lo cual el envío masivo de publicidad mediante mensaje privado es sancionado por la Agencia Española de Protección de Datos, por lo que debe quedarte muy claro que esta conducta está prohibida, y seguro que lo has hecho en más de una ocasión.
¿De verdad hay ventajas al adaptarte a la LOPD?
Lo afirmo con rotundidad, si, no voy a decirte que evitarás sanciones porque es obvio y mi intención no es que se cumpla con la normativa para evitar que no nos pillen, sino que va mucho más allá.
- Piensa que los GRANDES lo hacen, y no es por gusto, sino porque tu competitividad en el mercado aumenta, vas a ofrecer un servicio y un producto de calidad que otros no ofrecen, sino por qué quienes cumplen con la ley nos lo recalcan tantas veces?
- La ley no está por gusto, hay que cumplirla porque entre todos garantizamos que se cumplan unos derechos que ahora desde el punto de vista del emprendedor te parecerá un poco pesada o cansina, pero piensa que eres consumidor también, y cuando visitas una página o haces una transacción quieres evitar fraudes, este sería el camino para crear un negocio 100 % seguro.
- Tus conversiones, al dar una sensación de seriedad y formalidad van a aumentar seguro, pero me refiero a aquellas que van a darte dinero, las de calidad, mejor una lista de mil que convierta bien a una de diez mil que no convierta, esto es así porque van a tener seguridad en tu negocio, les vas a inspirar confianza.
Como verás, no es un camino sencillo de realizar, pero es de obligado cumplimiento, el adaptarnos a la Ley al final no traerá beneficios.
Cumplir la ley es obligatorio, es el primer paso, a partir de ahí fórmate en lo que quieras, porque sino, no vas a poder emprender un negocio ya que vas a vivir atemorizado de que te pillen y echen todo tu trabajo al traste.
En definitiva las cosas hay que hacerlas bien, para eso existen una serie de mecanismos regulados en la ley, cada web es diferente y recoge datos de forma diferente.
No es igual un blog donde solo se informa y se actualizan entradas a aquel que igualmente vende infoproductos, servicios, afiliados o adsense solamente.
Este apartado es un pilar básico en tu web, donde debes estudiarlo y redactarlo meticulosamente porque a través de ellos deben aceptar las condiciones tus clientes o suscriptores, mediante mecanismos de check in u otros que veremos, pero ellos tienen que mostrar su consentimiento y deben conocer qué se va a hacer con sus datos al igual que te gustaría saberlo a ti si estuvieras en su lugar, o es que ¿a nadie le molesta que lo fundan a spam o publicidad sin haber dado consentimiento?.
Despues de todo supongo que tendrás más dudas que nunca, pero no te preocupes porque nos vamos a encargar de ir desglosando este artículo en otros posteriores explicando detalladamente que es cada cosa.
Resumen
A modo de resumen, tiene que quedarte claro lo siguiente:
¿Tienes alguna duda? ¿De verdad? 😛
Leave a Comment:
Add Your Reply