Adaptarte a la Protección de Datos sin morir en el intento

Existen muchas dudas sobre qué leyes hay que cumplir y cómo a la hora de tener un negocio online.

La situación más habitual que estoy observando es "tirar adelante sin miramientos a la hora de cumplir la Ley", ya que hacerlo es ser un pardillo o que nunca te van a pillar.

¡¡Espero que no pienses así pillín!!

De todos modos, aunque así lo fuera, haré que cambies de opinión, o al menos ese es mi objetivo.

Tranquilo, te voy a exponer una guía que puedas entender para que no suponga una traba el adaptarse a la ley puesto que a corto plazo, vas a obtener más beneficios que perjuicios.

Pronto me darás la razón 😉

Para ello, te tiene que quedar claro un artículo de nuestro Código Civil, sin que sea costumbre que cite normas de nuestro Ordenamiento Jurídico porque me parece que más que ayudar, aburren y hacen engorroso el camino hacia el aprendizaje, pero como digo, me parece obligatorio que conozcas lo que dice el artículo 6 de nuestro Código Civil.

"El desconocimiento de la norma, no exime de su cumplimiento"

Te puedo asegurar que no vale con decirle al organismo competente para sancionar que no conocías la ley, y por tanto nunca la has podido cumplir, es un truco muy visto que solo te va a conllevar la correspondiente sanción, es decir, te la comes fijo.

Primeros pasos para cumplir con la Ley


Me puedo aventurar a decir que más de un 80 % de blogs y negocios online [en adelante me referiré como Sitio Web] no cumple con la ley.

Puede ser que incluso me quede corto pero es verdad, no sé si por dejadez o desconocimiento, pero es un dato impactante, porque se exponen a multas que pueden resultar descabelladas.

Si me conoces, siempre digo lo mismo, el día que la AEPD (Agencia Española de Protección de Datos) se dé cuenta de los altos niveles de incumplimiento, se pondrá manos a la obra porque es dinero fácil que va a recaudar, y en este país, el afán recaudatorio de las multas es deporte habitual de los políticos ...

Las leyes que van a a ser de aplicación en primer lugar serán la Ley Orgánica de Protección de Datos y la Ley de Servicios de Seguridad e información, más conocidas como LOPD y LSSI.

Estas dos leyes simplemente serán aplicables en todo momento, pero además, cuando vendamos productos o servicios, entrarán en juego la Ley de Consumidores y Usuarios, y Ley de Comercio Minorista.

No voy a exponer temas relacionados con impuestos ni Hacienda, porque dará para otro post más adelante, es decir, la forma jurídica que tendrá nuestra empresa, y el tipo de impuestos que hay que abonar, la inscripción en el IAE.

Para entrar en materia, debes saber que existen varias leyes que entran en juego una vez que tienes un Sitio Web, simplemente porque recogemos datos de personas, generamos facturas, impuestos, pero antes de nada, quiero resolver la pregunta que me hace el 90%

La pregunta del millón


Tengo un blog y no gano dinero, solo un formulario de contacto para mi newsletter ¿Tengo que cumplir con la LOPD? En tu formulario ya recopias datos, entonces …. La respuesta creo que es clara, SI.

A continuación me enfocaré en aquellas personas que tienen una web, blog, o ecommerce, como plataforma para vender servicios donde lógicamente incluimos cualquier tipo de empresa.

¿Que son datos? Por simple que parezca, muchos desconocen este concepto

Para empezar, la definición de datos viene en la propia LOPD que lo define como “cualquier información concerniente a personas físicas identificadas o identificables”

A efectos prácticos que es lo que te interesa, olvídate del concepto, y si tienes un blog o negocio donde recojas datos de personas, ya sabes de antemano que debes cumplir la LOPD, es decir, si tienes el famoso formulario de contacto o de suscripción o usas adsense.

Por lo tanto, lo primero que debes hacer es una auditoría interna para conocer los focos de entrada de datos, que no solo es el formulario, pueden existir muchos más, dependiendo del tipo de Sitio Web.

Con “registrarte” en la AEPD no es suficiente


En definitiva, si crees que por registrarte como muchos entienden, lo que en realidad es dar de alta un fichero o varios (que cualquiera puede hacerlo) ya cumples con la ley, te estas auto-engañando y exponiendo a que te denuncien sin ninguna defensa la verdad.

No existiríamos profesionales dedicados a este tipo de asuntos si fuera tan sencillo realizarlo.

Este paso lo puedes salvar con mi Ebook y podrás realizarlo en unos cómodos pasos tras haberlo explicado con imágenes

El problema como detallaremos a continuación es que debes realizar una auditoria acerca de los futuros inconvenientes legales y empresariales que pudieran conllevar una adaptación deficitaria, así como conocer al detalle tu flujo de entrada de datos para luego subir un fichero u otro, establecer los encargados de tratamiento, etc.

¿Que es un fichero? Muchos confunden y pocos aciertan

Protección de datos

La definición de fichero, una vez más viene en la Ley, que viene a significar lo siguiente: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Muchos piensan o te venden porque lo he visto, que inscribir fichero seria como subir a una plataforma cada cliente o persona de los que puedas tener sus datos, es decir, tengo un cliente con su nombre correspondiente, y la supuesta empresa que tienes contratada sube los datos en fichero de la persona con sus teléfonos y demás a la agencia.

En realidad no es más que una notificación que se realiza donde se informa a la AEPD de los tipos de ficheros o datos con los que vas a manejar tu negocio, hay un montón pero dependiendo del tipo de empresa o datos, inscribirás uno u otro.

Simplemente deberás tenerlo actualizado en función de la evolución de la forma de obtener tus datos.

¿Quien es el responsable del fichero?

No te voy a dar una definición teórica, básicamente quiero que aprendas que esa persona eres tú. Al público al que va dirigido este post, no necesita cuestiones teóricas en este sentido.

Es decir, quiero que sepas que toda la responsabilidad de los datos que recabes, recae sobre tí, única y exclusivamente.


¿Qué textos legales necesita mi página web?


No te equivoques, que por tener los textos, ya has cumplido y te puedes ir de rositas. No es así, existen varios contratos que redactar, varias medidas de seguridad que cumplir, y varias pautas a conocer en caso de reclamaciones.

¿¿¿Cuántos habéis ido a cualquier página web y habéis copiado cambiando simplemente los datos???

No lo hagas porque tienes que hacerlo bien, cada web es diferente y recoge los datos de diferente forma. No es tan sencillo como parece, debes auditar bien cuáles son las fuentes de recogida de datos y los tipos de productos que vendes, no es igual un blog donde solo se informa y se actualizan entradas a auqel que igualmente vende infoproductos.

Este apartado es un pilar básico en tu web, donde debes estudiarlo y redactarlo meticulosamente porque a través de ellos deben aceptar las condiciones tus clientes/lectores o como quieras llamarlo, mediante mecanismos de check in es válido.

Pero ellos tienen que mostrar su consentimiento y deben conocer qué se va a hacer con sus datos al igual que te gustaría saberlo a ti si estuvieras en su lugar, o es que a nadie le molesta que lo fundan a spam o publicidad sin haber dado consentimiento.

He visto paginas con textos legales de Mc Donald ...​ dejando su dirección, nombre, etc.

¡¡Esto no es serio!! 

El aviso legal: te lo voy a decir de forma resumida, para que conozcas la función del aviso legal, imagina que la AEPD o un usuario necesita identificarte, ¿Dónde lo hace? En este apartado, por lo cual, debes recoger:

  • Datos que identifiquen al titular de la página web, con DNI o si es una sociedad su CIF e inscripción en el Registro Mercantil.
  • Si se realiza una actividad que necesita de autorización administrativa previa, se debe hacer constar estos datos.
  • Si eres un profesional colegiado, debes recoger tu número de colegiación y colegio inscrito.
  • Si estás regido por un código de conducta, debes recoger como encontrarlo y si estás adherido al mismo.
  • Precios (si vendes servicios)

La política de privacidad: Aquí debes exponer para qué recoges sus datos de carácter personal así como la finalidad con la que los recoges. Asimismo, si el responsable del fichero (sueles ser tú) es una persona diferente, debes indicarlo también además de establecer que en cumplimiento del art. 5 LOPD.

En realidad se trata de dar cumplimiento a lo establecido en ese artículo, donde se dice que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

  • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento

La política de cookies: lo que se ha venido a establecer es que no sólo hay que informar acerca de la existencia de cookies, sino que hay que identificarlas y establecer si son propias o de terceros, lo que no se suele hacer o veo en muy pocas webs.

Así lo recoge el artículo 22 de la LSSI. Olvidaros del plugin de cookies, que con eso no es suficiente, tenéis que hacer una auditoría y ver que cookies se instalan en tu sistema tras acceder a varias secciones de tu Sitio Web.

Las condiciones generales de contratación: este apartado solo habría que incluirlo si vendéis servicios o productos, igualmente, si tenéis un Ecommerce creo que es de cajón saber que debes tener reflejadas tus condiciones de venta, política de devolución y todo lo relativo al proceso de contratación así como las formas de pago.

Cada texto es único, he visto en ocasiones blogs cuyo aviso legal era copiado literalmente de otro blog que sí cumplía con la normativa porque había sido realizado a medida, tal es así, que incluso había dejado el nombre y responsable del tratamiento de ese blog, ni siquiera se molestó en cambiarlo por su identidad.


¿Quién es el famoso encargado del tratamiento?


No quiero liarte con muchos conceptos, pero es un aspecto a tener en cuenta, existen personas que acceden a datos de tu negocio sin que a lo mejor te hayas percatado, es decir, supongo que no tendrás clausulas con este tipo de personas, son aquellas que de algún modo pueden acceder a tus ficheros/datos de clientes.

El caso más común es la gestoría, es muy importante que establezcas un sistema donde quede bien claro el uso que se le debe dar a ese tipo de datos, por ello son muy importantes las cláusulas de confidencialidad y algo que pasan por alto, a la hora de terminar con sus servicios.

Pueden firmar una renuncia del uso de cualquier dato de la empresa, algo que parece obvio y nadie hace, pero que pasaría si no hay nada firmado y usa tu lista de datos para hacer SPAM? Piensa la respuesta que es fácil.

La aparición del Datismo Low Cost como algunos llamamos, es decir, aquellas personas que se dedican a la adaptación a la ley de tu página web o negocio ha conllevado que exista incertidumbre y dudas acerca de las personas que efectivamente realizan con plenitud un estudio o auditoría de tu empresa/página web/negocio.

No sería la primera vez donde me viene alguien y me dice que por un tercio del precio que ofrezco hay otros que lo hacen, siendo mi respuesta siempre la misma “ale” ve con ellos que al final lo barato sale caro.

Están automatizando el proceso cuando en realidad es algo difícil de automatizar, lo mismo está ocurriendo en otros ámbitos tras la reforma del Código Penal como es el Compliance, creo un programa con cualquier programardor freelance, automatizo textos y mando automáticamente rellanado mediante encuestos los mapas de riesgos y un largo etc que para nada te eximen de responsabilidad penal como en un futuro abordaremos.

Sanciones por incumplimiento


Muchos me dicen que no quieren adaptarse porque no van a pillarlos, y siempre les respondo lo mismo, eres al primero que van a intentar trincar porque no vas a tener medios para litigar y es un asunto 100% ganado para la Agencia Española de Protección de Datos.

Vas a tener que buscar un abogado para acudir a la vía administrativa y defender tus derechos, para luego acabar en los Tribunales de Justicia y perder el procedimiento, que al final te va a costar el abogado, las costas, y finalmente la multa que te van a cascar.

Me parece una idea errónea el pensar que no va a cogerte porque ya existen varias sentencias, y cada vez salen más ante incumplimientos por protección de Datos.

Con La reforma del Reglamento Europeo nos da la sensación que empiezan a ponerse duros en este tema, pero no quiero ser alarmista, porque mi idea como repetiré hasta la saciedad no es cumplir de manera preventiva, es decir, por si me pillan, sino para crear un negocio profesional, seguro y que pueda garantizar unos derechos mínimos que a cada uno nos gustan que nos reconozcan cuando acudimos a otro negocio.

Ya existen multitud sanciones que no quiero detallar aquí por no hacer daño a las empresas, pero 2 eCommerce precisamente fueron las primeras sancionadas por nuestra Audiencia Nacional a dos multas importantes, diciéndote aun así que las cuantías fueron por decirlo de algún modo "ejemplarizantes."

Medidas de seguridad


Si no lo sabes, en la Ley vienen recogida una serie de medidas de seguridad que hay que cumplir en función del nivel que estés.

No es lo mismo cumplir una serie de medidas si recoges datos de nivel bajo que de nivel alto. Estas últimas son muy estrictas, pero con práctica al final se realizan de forma automática sin que te quite tiempo en tu día a día.

documento de seguridad

Básicamente, la gran mayoría de los negocios online se encuentran dentro del nivel básico, y las medidas de seguridad son las siguientes, para el supuesto de tener únicamente ficheros automatizados, como es el caso de Sitios Web:

Debemos definir con claridad y precisión las funciones y obligaciones del personal.

Tenemos que contar con un registro de incidencias: debe existir un procedimiento de notificación y gestión de las incidencias donde se recoja momento, persona, medidas …

Control de acceso: se deberá recoger las prohibiciones así como qué usuarios tendrán acceso de una forma u otra a los datos

Gestión de soportes y documentos: se deberán identificar en la medida de lo posible los datos de carácter personal recogidos, así como se deberá documentar la forma en qué saldrán los soportes y documentos a fin de evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

Identificación y autenticación: El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado y cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad, todo recogido en el documento de seguridad.

Copias de respaldo y recuperación: como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos además de establecerse los procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Nos dice la Ley que tenemos que disponer de un documento de seguridad, por lo tanto, tendremos que redactarlo adaptado a nuestro negocio y lo más importante, es que este documento tiene que estar constantemente actualizado, no serás el primero que lo tiene guardando polvo en un cajón, que a veces ni eso.

Este documento es importantísimo, porque es tu hoja de ruta, ahí tendrás todo el mecanismo que deberás activar en caso de fuga de datos, además de las pautas de actuación para los encargados de tratamiento que veremos más adelante.


Principales inconvenientes y ventajas para adaptarte a la ley


No voy a negar que adaptarte a la LOPD es un procedimiento engorroso, he visto como muchos se echan a temblar solamente cuando les digo que tienen que cumplirla, piensan que va a ser imposible, pero nada más lejos de la realidad.

Hay que tener varios conceptos muy claros, en definitiva te tiene que quedar grabado que debes exigir en todo momento el consentimiento de la persona a la que vas a recoger sus datos personales, evidentemente, no puedes recoger todo tipo de datos, sino únicamente los que vayas a necesitar, si por ejemplo vendes un producto online, con conocer lo “típico” es suficiente, no vas a preguntar cuál es su partido político, su raza, religión, nombre de su pareja, ya que son datos que no vas a necesitar para nada.

Mucho cuidado con esto y lo que pedimos.

Debes conceder la oportunidad de ejercer los famosos derechos ARCO que lo habrás escuchado hasta la saciedad en locuciones telefónicas, y es que es un principio fundamental ya que tienes que ofrecer la posibilidad en todo momento de poder ejercer el afectado esos derechos, de Acceso, Rectificación, Cancelación u Oposición, y obviamente debes tener instalados en tu empresa los mecanismos oportunos para que se pueda llevar a cabo.

Tienes que tener mucho cuidado con las comunicaciones comerciales, no debes hacer SPAM ni mucho menos una de las prácticas que veo son comunes, comprar listas de LEADS, ni mucho menos vender las tuyas, porque la sanción por eso es muy gorda.

Las redes sociales son un caldo de cultivo de sanciones y procedimientos sancionadores por SPAM, los contactos no te pertenecen, por lo cual el envío masivo de publicidad mediante mensaje privado es sancionado por la Agencia Española de Protección de Datos, por lo que debe quedarte muy claro que esta conducta está prohibida, y seguro que lo has hecho en más de una ocasión.

¿De verdad hay ventajas al adaptarte a la LOPD?

Lo afirmo con rotundidad, si, no voy a decirte que evitarás sanciones porque es obvio y mi intención no es que se cumpla con la normativa para evitar que no nos pillen, sino que va mucho más allá.

Piensa que los GRANDES lo hacen, y no es por gusto, sino porque tu competitividad en el mercado aumenta, vas a ofrecer un servicio y un producto de calidad que otros no ofrecen, sino por qué quienes cumplen con la ley nos lo recalcan tantas veces?

La ley no está por gusto, hay que cumplirla porque entre todos garantizamos que se cumplan unos derechos que ahora desde el punto de vista del emprendedor te parecerá un poco pesada o cansina, pero piensa que eres consumidor también, y cuando visitas una página o haces una transacción quieres evitar fraudes, este sería el camino para crear un negocio 100 % seguro.

Tus conversiones, al dar una sensación de seriedad y formalidad van a aumentar seguro, pero me refiero a aquellas que van a darte dinero, las de calidad, mejor una lista de mil que convierta bien a una de diez mil que no convierta, esto es así porque van a tener seguridad en tu negocio, les vas a inspirar confianza.

Como verás, no es un camino sencillo de realizar, pero es de obligado cumplimiento, no entiendo como a veces nos gastamos 700 y 800 euros en cursos de formación que no sabemos si nos van a valer, pero no nos lo gastamos en adaptarnos a la Ley, que al final nos traerá beneficios.

Cumplir la ley es obligatorio, es el primer paso, a partir de ahi fórmate en el resto porque sino no vas a poder empreder un n egocio ya que vas avivir atemorizado de que te pillen y echen todo tu trabajo al traste.

En definitiva las cosas hay que hacerlas bien, para eso existen una serie de mecanismos regulados en la ley, cada web es diferente y recoge datos de forma diferente.

No es igual un blog donde solo se informa y se actualizan entradas a aquel que igualmente vende infoproductos, servicios, afiliados o adsense solamente.

Este apartado es un pilar básico en tu web, donde debes estudiarlo y redactarlo meticulosamente porque a través de ellos deben aceptar las condiciones tus clientes o suscriptores, mediante mecanismos de check in u otros que veremos, pero ellos tienen que mostrar su consentimiento y deben conocer qué se va a hacer con sus datos al igual que te gustaría saberlo a ti si estuvieras en su lugar, o es que ¿a nadie le molesta que lo fundan a spam o publicidad sin haber dado consentimiento?.

Despues de todo supongo que tendrás más dudas que nunca, pero no te preocupes porque nos vamos a encargar de ir desglosando este artículo en otros posteriores explicando detalladamente que es cada cosa.

A modo de resumen, tiene que quedarte claro lo siguiente:

  • El fichero es un único archivo que se da de alta en la AEPD donde se establecen los tipos de datos de carácter personal que se recogen, es decir, que cada vez que recojas los datos de un cliente, no tendrías que ir a la AEPD, subir esos datos y modificarlo
  • Es muy importante implantar medidas de seguridad (no es solo el documento de seguridad) sino que tienes que establecer las mismas a pesar de ser del nivel más bajo.
  • Grábate a fuego dos de las palabras más importantes, CONSENTIMIENTO e INFORMACION,  sin ellos, vamos por mal camino.
  • Por favor, en tu página web, no copies los textos legales porque esto se hace a medida como has podido comprobar.

¿Tienes alguna duda? ¿De verdad? 😛

About the Author Raul Florido

Abogado, al que le encanta el marketing y tengo la intención de ayudar a todos aquellos que tengan un negocio online a cumplir con la legalidad porque es una necesidad hoy día que muy pocos llevan a cabo.

follow me on:

Leave a Comment: