Por Pedro Jesús González
Estamos acostumbrados a utilizar la curiosa expresión de la Sociedad de la Información, (esto merecerÃa un artÃculo en sà mismo) para referirnos a la Sociedad en la que vivimos, pensamos y trabajamos. Pero, ¿qué es la información? La información se traduce en conocimiento, y el conocimiento, ahora y siempre, se traduce en dinero. Es asÃ, cuando en el momento que se habla de dinero, surge la legislación.
En el caso que nos ocupa, la publicación y mantenimiento de Sitios Web en España, la regulación viene dada por dos leyes distintas, uno de caracter directo La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), elaborada en 2002 por el Ministerio de Industria, y otra que afecta de forma indirecta la conocida Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) elaborada por el Ministerio de Fomento en 1999.
Las obligaciones que imponen ambas leyes dependen del tipo de empresa y del tipo de web. AsÃ, no rigen los mismos puntos de la Ley para una web orientada al E-commerce que para una web corporativa de una empresa, que son a su vez distintos que los que debe observar un sitio web de uso personal.
La LSSICE
- ¿Qué hay que cumplir?
Es la más reciente de las dos. Establece las obligaciones que han de cumplir propietarios y proveedores de sitios web. Sirvan estos puntos como resumen de la información que debe ofrecer el propietario de una web, en todos los casos:
- Denominación social, NIF, domicilio y fax, teléfono o e-mail.
- Los datos de inscripción registral.
- Códigos de conducta a los que está adherido, en su caso.
- Precios de los productos o servicios ofrecidos en la web junto a sus impuestos y gastos de envÃo, en su caso.
- Si es una actividad regulada, datos de colegiaciación y titulación académica de quiénes ejerzan en la empresa.
Si además de ofrecer productos o servicios en la web, se ofrece la contratación o transacción online, se debe dar información de:
- Los trámites a seguir para la contratación.
- Si el contrato o pedido se va a archivar, y si este será accesible para el usuario.
- La forma en la que el usuario puede corregir errores en la introducción de datos
- La lengua o lenguas en las que puede formalizarse el contrato.
- Las condiciones generales, en las que en su caso, se sujete el contrato.
¿Cómo cumplirlo?
Esta serie de puntos, son sencillos de llevar a la práctica, y no solo constituyen una obligación sino que son la base para lograr éxito comercial en una web. El dueño de la web tan sólo ha de redactar una o dos secciones de la web informando de todas las cuestiones referidas en los puntos anteriores.
Suele ser interesante dedicar dos secciones a esto. Una que recoja toda la información desde un punto de vista jurÃdico/legal (el aviso legal) y otra, desde un punto de vista más comercial, que recoja asimismo la información, pero con un tono más informal, informando de todas las cuestiones relacionadas con la compra o prestación de servicios. (la sección de faq´s, cómo comprar, etc…) Muchos proveedores importantes de servicios web, ofrecen un borrador de la redacción, sin embargo, la empresa propietaria de la web, y por tanto, responsable legal de la misma, ha de revisar los puntos para adaptarlos a aquellos que son de aplicación en su caso.
La LOPD
- ¿Qué hay que cumplir?
Esta Ley Orgánica, establece los derechos y deberes de ciudadanos u organismos en la recogida y tratamiento de información y datos de caracter personal. Desde el punto de vista de aquellos organismos o empresas que recogen información, las obligaciones se dividen en tres apartados:
- Notificación: La empresa u organismo ha de notificar a la Agencia Española de Protección de Datos, aquellos ficheros, con datos de caracter personal, de los que es propietaria, asà como cualquier variación con respecto a los datos informados en su creación: cambio de titularidad, de finalidad del archivo, de su ubicació fÃsica…
- Obtención de consentimiento: La Ley establece que para obtener y almacenar los datos personales de clientes, empleados… debemos contar con su autorización, no pudiendo en ningún caso hacer un uso fraudulento, abusivo o ilÃcitio de los mismos. Salvo los casos especiales, definidos por la ley, este consentimiento deberá ser libre, especÃfico, informado e inequÃvoco. Asimismo, la Ley entiende que a partir de dicha información el afectado es consciente y toma conocimiento de la existencia del tratamiento que se va a realizar, sin que deba mediar consentimiento expreso salvo en la recabación de datos sobre Salud y expreso y por escrito en aquellos que tengan que ver con ideologÃa o filiación.
- Protección de los datos: el fichero o fichero de datos ha de estar protegido fÃsica y tecnológicmante y debe cumplir los criterios de confidencialidad, exactitud y disponibilidad. Es decir, la información sólo ha de ser accesible por personas autorizadas y sólo ha de sufrir modificaciones autorizadas.
¿Cómo cumplirlo?
Para notificar a la AGPD el fichero o ficheros de los que somos titulares, podemos optar por diversas formas, siendo la recomendada por la propia agencia, el sistema NOTA (NOtificación Telemática a la Agpd) que nos permite crear, modificar o suprimir el fichero. La AGPD dispone además de una serie de ficheros pre-completados que pueden ayudarnos en su creación.
En lo que se refiere a informar a aquellos cuya información vamos a recoger , la ley establece que se deberá incluir la información sobre el objetivo de la recogida de la información y los derechos que dispone el mismo, de forma visible en todos aquellos formularios, contratos, cupones… en los que se recoja información privada.
Por último, para garantizar la seguridad, debemos observar y cumplir medidas de seguridad en el acceso fÃsico a las instalaciones o equipos donde almacenamos la información, formación de las personas que acceden a ellos y protección tecnológica con el uso de claves o contraseñas, programas antiespÃas…
Como resumen, podemos decir que cumplir con la legalidad, no sólo no es costoso si no que reflejará nuestro compromiso con los usuarios y por tanto mejorará su percepción de nuestra empresa lo que será beneficioso en todos los casos.
Suscribir por email a nuestro blog
Suscribir al blog usando RSS
SÃguenos en Twitter
Recibir nuestro boletÃn mensual
Ver boletines anteriores
Muy bien expuesto y claro. FaltarÃa alguna referencia en lo que a la protección de datos se refiere al tipo de datos que se considera ‘personal’, y sÃ, la IP también cuenta…
Gracias Rodia, por tus palabras. Este artÃculo recoge algunos puntos que he leÃdo sobre el tema, más que nada por afición, no soy ningún experto en cuestiones legales. Respecto a tu interesante pregunta sobre la IP, he investigado un poco y la respuesta es que sÃ, la IP es un dato personal y cómo tal ha de ser tratado en lo referente a su obtención y almacenamiento.
VÃa: http://proteccion-de-datos.blogspot.com/2008/03/la-ip-y-la-lopd.html
Está bastante bién, pero creo que dentro de esos apartados que nos resume, deberÃa darnos más información; Por ejemplo, tengo entendido que son necesarios:
Programa para encriptar la informaciÃn, claves de acceso a los equipos, dectructora de papel…. si nos pueden ampliar la informaciónnos serÃa de grán utilidad.
Siento la demora en comentar, Josue, he estado de vacaciones, completamente desconectado.
Lamentablemente, poca información adicional puedo aportar, ya que no se trata de un campo en el que sea un experto. Realmente para tratar este tema con el rigor que exige, lo mejor es ponerse en contacto con algún especialista o consultor jurÃdico que aporte información precisa para el área concreta en la que nuestra empresa se enmarca.
Aprovecho para enviarte recuerdos y desearte mucho éxito con Neo-Sport
Ummm, sobre las preguntas de Josué…
El programa, por llamarlo de alguna manera, no es tan obligatorio como lo es encriptar -¿cifrar?- la información. Es decir, hablando desde el punto de vista de sitios web, lo más normal es que la información, a través de software de servidor, se guarde cifrada en una base de datos o en cualquier caso en un fichero electrónico. El «programa» por lo tanto dependerÃa del software utilizado, al menos en principio, y deberÃa bastar con un algoritmo de cifrado aplicado por ejemplo con un lenguaje de bases de datos, con un lenguaje de servidor, siendo genéricos y algo básicos pues digamos SQL y PHP por ejemplo… Esto sin contar con que pronto, y no me extrañarÃa nada en absoluto, se exijan transacciones seguras y cifradas de datos: https, etc…
Sobre el tema de destructora de papel, yo al menos no lo sé seguro pero sà sé que ya es normativa en instituciones públicas la migración de datos a soporte digital, asà que imagino es algo transicional; pero sÃ, es de imaginar que a las gestiones que requieran, por ejemplo, formularios impresos con datos personales se les aplicarÃa igualmente la ley.
En fin; yo tampoco soy experto, pero he leÃdo mucho del tema para aplicarlo a una institución pública para la que trabajo con un sitio web.
Igualmente tampoco estoy de acuerdo con la Agencia en el tema de la IP ya que no me parece que sea un dato que «pueda ser fácilmente identificativo de una persona fÃsica o jurÃdica» y menos del que se pueda «obtener su identidad civil (nombre dirección, número de teléfono, etc), por medios razonables,» dado que un ISP no da esa información ni a la ligera ni a cualquiera, salvo con las excepciones que recoge la propia ley.
Además… queda la laguna de los blogs personales. A mà me quedó claro que si no se ejerce una actividad comercial no se está sujeto a la LOPD… pero hoy por hoy tengo algunas dudas :S
Interesante entrada