AD 66/2019
Abstract:
En una época en que la vida no se concibe sin internet, la presencia digital es una parte importante en la planificación del negocio o proyecto de cualquier empresa o profesional. El sitio web acerca nuestro producto o servicio a los potenciales clientes, nos da a conocer. Por otro lado, tanto el propio diseño, como su mayor o menor cumplimiento de los requisitos legales, puede añadir valor (o restar) a nuestro negocio o actividad.
Nuestro sitio web puede ser, por tanto, una importante herramienta de marketing y nuestra tarjeta de presentación. No debemos olvidar, además, que a través de ella, nos relacionamos con personas y estamos obligados a respetar sus derechos.
El cumplimiento de las exigencias legales puede evitarnos problemas y, además, puede añadir valor a nuestro negocio o actividad.
Palabras clave
- Sitio web
- Aviso legal
- Privacidad
- Cookies
- Comercio electrónico
- LSSI
- RGPD
- LOPDGDD
Cuando entramos a un sitio web, rara vez se nos ocurre abrir las ventanas que llevan por título “aviso legal”, “política de privacidad” o “política de cookies”. Cuando nos enfrentamos al proyecto de nuestra propia web nos enfocamos en el diseño, en que resulte atractiva al usuario, en su funcionalidad, en los aspectos técnicos, contratamos un informático o un diseñador para que nos hagan una web fabulosa, que trataremos de posicionar bien en los navegadores.
Sin embargo, a menudo no se presta la suficiente atención a los aspectos legales del sitio web, quizá porque pensamos, con razón, que casi nadie lee el aburrido y farragoso “aviso legal”. No obstante, el hecho de que nuestra web cumpla con los requisitos legales, puede evitarnos muchos problemas y, con toda certeza, dará confianza a nuestros potenciales clientes y añadirá valor a nuestro negocio o actividad.
¿Qué exige la Ley a nuestra web?
Es esa ventana a la que no prestamos atención al entrar en cualquier web, la que suele figurar en un footer diminuto.
La Ley de servicios de la sociedad de la información y de comercio electrónico (LSSI) obliga al titular de una web a facilitar de forma clara y accesible cierta información.
De acuerdo con el artículo 10 de la LSSI, debe contener necesariamente:
- El nombre del titular.
- El CIF o NIF del mismo.
- La obligación, en su caso, de colegiación o licencia administrativa para llevar a cabo la actividad en la que consiste el servicio que se presta.
- El domicilio social o fiscal de la empresa o profesional.
También en este apartado se puede recoger la regulación de las condiciones de uso y aceptación de los servicios que, en su caso, preste el sitio web.
Además, es también aquí donde podemos facilitar información sobre uso de contenidos de la web y la responsabilidad consecuencia del mismo. Este apartado es el espacio idóneo para tratar los derechos de propiedad intelectual que protegen diseño, contenido audiovisual, textos legales, etc.
Las normas que regulan este punto son el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD).
¿Qué información debe darse aquí?
- Quién es el responsable del tratamiento de los datos personales.
- Quién es, en su caso, el delegado de protección de tatos.
- Qué datos personales
- Qué haces con los datos de los usuarios, para qué los tratas y durante cuánto tiempo. No valen ambigüedades, debes ser claro y concreto. Nada de decir que tratarás los datos durante todo el tiempo necesario sin fijar un límite.
- La legitimación en base a la cual vas a tratar esos datos.
- Los destinatarios de los datos que vas a tatar, en caso de que se cedan a terceros.
- Cuáles son los derechos de los usuarios (Artículos 13 y 14 del RGPD).
La AEPD, en su Guía para el cumplimiento del deber de informar recomienda ofrecer esta información por capas para facilitar su lectura y comprensión.
Debemos tener además en cuenta que esta información, si no va acompañada de la adopción de medidas organizativas y de seguridad que garanticen los derechos de los usuarios y de una revisión periódica de la efectividad de las mismas, no servirá de nada. Se trata de cumplir, no de aparentar que lo hacemos, porque al proteger los datos personales, protegemos a las personas.
El cifrado será también necesario en nuestro sitio web, que requerirá de un certificado SSL para que los datos que se recojan a través de boletines de contacto o suscripción, por ejemplo, circulen cifrados y de forma segura.
Podría estar incluida en el apartado de política de privacidad, pero es más aconsejable no mezclar churras con merinas. Cuanto más largo y farragoso es un texto, menos animará al usuario a leerlo y, en consecuencia, no cumplirá su función.
Las leyes que regulan esta materia son la LOPDPGDD, EL RGPD y la LSSI. La actual legislación pretende que el interesado esté informado de lo que se va a hacer con sus datos y que entienda en qué consiste cada tratamiento de los mismos. El objetivo es que pueda ejercer control sobre ellos.
Las cookies técnicas, es decir, las que estrictamente necesarias para permitir la comunicación entre el equipo del usuario y la red, quedan exceptuadas de la obligación de información.
Por otro lado, aunque hablemos de “política de cookies”, no sólo de cookies viven los sitios web, y las obligaciones de la LSSI se extienden a todo “dispositivo o mecanismo similar que permita el almacenamiento y recuperación de datos”.
Por consiguiente, lo primero que tendremos que saber es qué archivos instala nuestro sitio web en los terminales de quienes lo visitan, capaces de guardar información de los usuarios.
Sobre las cookies no exceptuadas y archivos similares es obligatorio:
A) Informar
La información debe estar accesible de forma permanente en el sitio web. Es aconsejable que se encuentre en un header o un footer y, necesariamente, debe incluir los siguientes extremos:
- Qué son las cookies y su finalidad.
- Cómo se pueden configurar y deshabilitar las cookies en cada navegador.
3.- Descripción de las cookies utilizadas en el sitio web:
Clasificación por tratamiento:
- Cookies propias. Son las que envía al terminal del usuario el dominio gestionado por el editor que presta el servicio.
- Cookies de terceros. Son las enviadas desde un equipo que no gestiona el editor del sitio web.
Clasificación por tiempo:
- Cookies de sesión. Son las necesarias para poder navegar.
- Cookies persistentes. Son las que permanecen en el terminal del usuario recogiendo información.
Clasificación por finalidad:
- Cookies técnicas. Son las estrictamente necesarias para el correcto funcionamiento del sitio web y para poder usar los servicios que se ofrecen.
- Cookies de personalización. Son las que permiten al usuario usar diferentes opciones o servicios que ofrece el sitio web. Un ejemplo de ellas serían las que permiten elegir el idioma.
- Cookies de análisis. Permiten al responsable del sitio web analizar el comportamiento de los usuarios y obtener estadísticas con la finalidad de mejorar el servicio que se presta.
- Cookies publicitarias. Su objetivo es permitir, en su caso, la gestión de los espacios publicitarios que se incluyan en el sitio web.
- Cookies de publicidad comportamental. Al igual que las anteriores, se instalan para optimizar la gestión de los espacios publicitarios pero, además, almacenan información del comportamiento de los usuarios que recaban observando sus hábitos de navegación y la aprovechan para crear perfiles y ofrecer, en base a ellos, publicidad personalizada.
4.- Plazo o criterios de conservación de la información que almacenan. Debe informarse del plazo de persistencia de las cookies.
5.- Información sobre los tratamientos de profiling. Debe informarse al usuario de los tratamientos que conlleven la categorización de personas en función de sus características a partir del tratamiento automatizado de sus datos personales. Mediante la elaboración de perfiles, se obtienen determinadas características a partir de otras que pueden observarse. De este modo se hacen análisis y predicciones. Los usuarios, muchas veces, no son conscientes de que se están tomando decisiones que pueden afectarles en base a un tratamiento de datos automatizado. Es por ello necesario informar, no sólo de que se elaboran perfiles, sino también de sus consecuencias, ofreciendo la posibilidad de oponerse.
6.- Previsión de transferencias internacionales. También debe informarse al usuario si se prevé transferir datos personales a otros países. Debemos tener en cuenta que fuera de la UE la normativa referente a protección no ofrece las mismas garantías.
Es muy importante que, al diseñar el sitio web, se tenga presente la necesidad de que esta información se ofrezca de forma permanente y de la manera más clara posible, teniendo en cuenta el tipo de usuario al que se dirige el servicio. Los sitios web cuyos principales usuarios sean menores de edad, deberán ofrecer una información especialmente clara y en lenguaje comprensible para sus potenciales usuarios.
La ICO (Information Commisioner´s Office) en una su recientemente publicada guía para la correcta aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas incide también en la necesidad que la información ofrecida al usuario sea clara y comprensible (Página 30).
Es recomendable facilitar esta información por capas, una primera con lo esencial y una segunda que lo desarrolle de forma más amplia.
B) Consentimiento
1.- Inequívoco. Nada de casillas pre marcadas ni consentimiento tácito de ningún tipo. La AEPD en su Guía para el uso de cookies admite como inequívoco el consentimiento que se presta al continuar navegando por un sitio web tras haber sido informado del uso de cookies siempre y cuando el sitio haya informado correctamente al usuario sobre todos los aspectos relativos a las mismas y establezca un mecanismo que permita rechazar, aceptar y configurar las cookies. Sin embargo, esta postura no coincide con la del Comité Europeo de Protección de Datos que va más allá al no considerar inequívoco el consentimiento que se presta por el mero hecho de seguir navegando por el sitio web, exigiendo que el usuario realice una acción clara que indique su consentimiento expreso. En consecuencia, si nuestra web tiene intención de traspasar nuestras fronteras, debe tener en cuenta que incluso cumpliendo con las exigencias de la AEPD, podría tener algún problema con los usuarios de otros países done la interpretación que se hace del RGDP es más estricta.
2.- Granular. Debes informar sobre cada tipo de cookies que instala tu sitio web y recabar el consentimiento específico para cada una de ellas (Artículo 32 RGPD).
3.– Revocable. Revocar el consentimiento debe ser igual de sencillo que darlo.
4.– Informado. El consentimiento sólo será válido si previamente se ha informado al usuario. La opción más recomendable es ofrecer esta información por capas. En una primera deberíamos incluir identificación, finalidad, derechos y consecuencias del principal tratamiento. En la segunda esta información podrá ampliarse (Artículos 13 y 14 RGPD).
5.-Previo. Es muy importante impedir que las cookies no técnicas se instalen en el terminal del usuario antes de que este preste su consentimiento. Además, nos interesa tener constancia de este consentimiento ya que, de otra forma, no podremos probarlo en caso de ser necesario.
Es posible que te estés preguntando cómo puedes saber las cookies que usa tu sitio web. Para ello la opción más sencilla es instalar una extensión en tu navegador. En Google Chrome su nombre es Awesome Cookie Manager. Sólo con hacer “click” en ella cuando estás en tu sitio web, puedes comprobar las cookies que instala. Todos los navegadores tienen extensiones similares.
Una vez que sabemos las cookies que instala nuestro sitio web, podemos buscar un plugin que garantice el cumplimiento con la normativa que regula las cookies. Son muchos los que aseguran que no permiten la instalación de estos archivos hasta que las cookies no son aceptadas: Cookie Notice, Cookie Consent, GDPR, Asesor de cookies para normativa española, entre otros, por mencionar sólo plugins para WordPress. Sin embargo, no todos impiden la instalación antes de que el usuario preste su consentimiento, por lo que será necesario comprobar que funcionan tal y como indican. Aún más difícil es encontrar un plugin que bloquee las cookies de publicidad externa antes de su aceptación. Insisto en que no se trata de aparentar que cumplimos, sino de hacerlo realmente.
Por último, si nuestra web es un e-commerce, deberá cumplir con las obligaciones que le impone la LSSI, la Ley de Ordenación del Comercio Minorista para las ventas a distancia. Esencialmente, se trata de obligaciones de informar al consumidor/usuario. Deben contener al menos información sobre:
- Trámites para celebrar el contrato.
- Si guardaremos el documento generado.
- Medios técnicos que ponemos a su disposición para corregir errores en sus datos.
- Lengua o lenguas en las que se puede formalizar el contrato.
- Precios (Debe quedar siempre claro el precio total).
- Plazos de entrega del producto.
- Cancelación de pedidos.
- Derecho de desistimiento. Plazo y forma de llevarlo a cabo. Mucho ojo, pues aunque el plazo para desistir es de catorce días naturales, si no se informa, el plazo será de doce meses.
- Coste de la devolución.
- Garantía del producto.
Asimismo, tu e-commerce debe facilitar al consumidor la confirmación del pedido en un soporte duradero, contar con un botón de pago que indique expresamente que el pedido obliga al pago y una función para confirmar la compra de forma inmediata a que el pago se produzca.
La UE cuenta con una plataforma de resolución de conflictos en línea . También debes informar de ello al consumidor.
Si has llegado hasta aquí, lo que no deja de tener su mérito, tres últimos consejos:
- Es recomendable el asesoramiento de un profesional del Derecho que conozca la legislación aplicable. El técnico informático, el desarrollador o el diseñador del sitio web no tienen por qué conocer las exigencias legales de éste ni saber cómo interpretar las normas que lo regulan y adaptarlas a tu sitio. El incumplimiento es sancionable.
- Desconfía de los servicios de muy bajo coste tales como los de adecuación “coste 0” al RGPD que incluyan la redacción de la política de privacidad del sitio web. La AEPD en el mes de julio de 2019, ha hecho público un documento alertando de las prácticas fraudulentas de algunas empresas que ofrecen estos servicios a muy bajo coste. Lo barato puede salir caro.
- No descuides el cumplimiento normativo de tu sitio web y, sobre todo, no hagas nunca un “copia y pega” del aviso legal, la política de privacidad o la de cookies de cualquier otro sitio web. Si no se ha hecho a medida para tu sitio, no te servirá ya que contendrá errores y no se adaptará a las particularidades de tu sitio ni a las de tu empresa o actividad. Copiar el contenido de otro sitio web supone, además, vulnerar derechos de propiedad intelectual, por lo que incluso podrías ser demandado.
María Inmaculada López González
25 de julio de 2019
María Inmaculada López González (www.bufetelopezgonzalez.com)
Abogada y consultora
Linkedin: https://www.linkedin.com/in/inmaculada-l%C3%B3pez-gonz%C3%A0lez-62891539/
Twitter: https://twitter.com/IlopezGon
Ilustraciones: Cristina Grijalba López, diseñadora/
Bibliografía:
Guía para el uso de cookies (AEPD).
Ley de Servicios de la Sociedad de la Información y del comercio electrónico.
Reglamento General de Protección de Datos
Ley Orgánica de Protección de Datos Personales y garantía de derechos digitales.
Gide to the Privacy and Elctronic Communications Regulations (ICO).