Esta pregunta nos la habremos hecho mil veces y nos habrá dado otros miles de dolores de cabeza. Mi idea es incluir en esta entrada todos aquellos textos, dentro del entorno Web, que debemos incluir en los desarrollos de páginas Web. Por supuesto, cada proyecto es un mundo y deberá requerir unos u otros textos, con lo que os recomiendo que tengáis a una persona especializada en legalidad online especialmente si es una tienda online.
También recordaros que todos estos aspectos legales están fechados con esta publicación, lo que quiere decir que es posible que surjan nuevos cambios y actualizaciones. En cualquiera de los casos, trataré de ir actualizando esta entrada siempre que surja algo nuevo.
Leyes establecidas que debemos cumplir obligatoriamente
Estas leyes están publicadas y son de cumplimiento obligatorio. Os listo a continuación las mismas de la más antigua a la más reciente con una breve descripción de cada una:
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI). Establece tanto a los proveedores de servicios de intermediación, como a las empresas que ofrecen sus productos y a los ciudadanos que posean una página web, las reglas necesarias para que el uso y disfrute de esta red, así como la posible actividad económica generada en torno a la compra y venta de todo tipo de productos y servicios, sea una experiencia positiva, segura y confiable.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas (RGPD). Con mecanismos implementados que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe. Los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El objetivo de esta ley es proporcionar una base legal sólida y actualizada para regular el tratamiento de los datos personales de las personas físicas, así como la libre circulación de los mismos.
Páginas de textos legales que debemos incluir
En esta parte hablaremos de las páginas que más dolor de cabeza nos dan y sus contenidos: política de privacidad, aviso legal y política de cookies.
Política de privacidad
Todo lo referente a la política de privacidad esta regido por la Ley LOPDGDD, que se encarga de adaptar la legislación española a la normativa europea. ¿En qué casos se aplica esta ley? En el momento que obtenemos información del usuario de cualquier forma debemos aplicar estas dos partes:
Parte 1
- Se debe poner una confirmación (tipo checkbox) desmarcada que obligue al usuario a marcar dicha confirmación ligada al texto «Acepto la política de privacidad», importantísimo, con un enlace que lleve a la página de Política de privacidad.
- Por otra parte pero perteneciendo al mismo párrafo (por denominarlo de alguna forma), se debe recoger quién es el propietario de la Web, cual es la finalidad de los datos que se están recogiendo y que el usuario legitima el uso de la información recogida.
OJO, si los datos que estamos recogiendo van a ser tratados por terceras empresas debemos avisar también de ello (como por ejemplo para el envío de newsletter a través de gestores externos). Para que nos hagamos una idea aproximada del resultado final de este párrafo:
He leído y acepto la política de privacidad. La información facilitada será tratada por Sara Sanz como responsable de esta web. La finalidad de los datos recogidos es de carácter comercial a través de correo electrónico. Este uso queda legitimado a través de la presente confirmación marcada. Se informa además que esta información será gestionada a través de la empresa Mailchimp.
Parte 2
Esta segunda y última parte de la política de privacidad hace referencia a la página que englobará dicha información, empezando por el título que debe ser representado en una etiqueta HTML de cabecera H1 que contenga «Política de privacidad» y su URL que, del mismo modo, debe contener exclusivamente las mismas palabras.
Esta página debe contemplar los siguientes aspectos:
- Toda la información del responsable del tratamiento de los datos personales: razón social o nombre y apellidos, marca comercial, identificación fiscal o DNI, dirección completa (calle y número, cp, población, provincia), correo electrónico, actividad laboral e inscripción en el registro mercantil.
- La forma de obtención de los datos del usuario (formularios de la Web, comentarios en entradas o productos, inscripciones…).
- Explicar cuáles son los derechos del usuario cuando nos facilita sus datos.
- Con qué finalidad se tratan los datos recogidos (y si citamos cada ubicación de obtención de datos y asociamos a qué finalidad, mejor).
- Legitimación para el tratamiento de los datos del usuario.
- Categorías de los datos recogidos.
- Por cuanto tiempo se conservan los datos recogidos.
- Destinatarios, terceros y/o intermediarios a quienes se comunican los datos recogidos.
- Exactitud y veracidad de los datos
- Aceptación y consentimiento reconociendo por parte del usuario la tratación de sus datos.
- Información sobre los derechos que tiene el usuario a revocar consentimientos.
- Parámetros de suscripción en caso de haber suscripciones.
Es muy importante que, en el caso que realices envíos de news, cuentes con el doble opt-in (tras registrarse, debe llegar otro correo para confirmar su suscripción), doble consentimiento de la política de privacidad (parte 1), news con opción a cancelar o modificar la suscripción y un registro de usuarios a la news (aceptación de fecha de suscripción, email e IP).
Aviso legal
Esta página debe estar presente en todas las páginas que generen ingresos (aunque sean céntimos) monetarios o por intercambio de bienes. La información que debemos presentar en esta página será:
Política de cookies y aviso de cookies
Lo primero que debemos de tener en cuenta es que, por una parte, debemos mostrar un aviso de cookies, y por otra parte, contar con una página exclusivamente para la política de cookies (no se puede incluir ya en la política de privacidad).
Aviso de cookies
Casi todas las páginas cuentan con un banner al entrar de obligatoria visualización. Debe contar con:
- Texto que indique si son cookies propias, de terceros o ambos y cuál es la finalidad (mejorar la experiencia del usuario).
- Botones de aceptar y rechazar (pudiendo reemplazar este último por un link para modificar la configuración que lleve a la página de política de cookies).
- Un enlace que lleve a la página en la política de cookis.
Es importante tener en cuenta que las cookies no se pueden activar hasta que el usuario acepte. Para ello, se debe contar con un script específico o un plugin para cookies.
Página de política de cookies
Esta página debe contar con el título de política de cookies recogido en una etiqueta HTML de cabecera tipo H1 y con una URL con esas mismas palabras.
Es importante que tras entrar a esta página se encuentre en primer lugar una explicación sobre qué son las cookies y los tipos que existen. Seguidamente debe haber una explicación y facilidad sobre cómo desactivar y eliminar las cookies y un listado al completo (tipo de cookie, dueño del servicio, finalidad y enlace hacia las políticas en caso de ser de terceros) de todas las cookies con las que cuenta la Web.
Referencias
Hago mención especial al blog de David Cuesta, en el cuál he encontrado y encontraréis toda la información y aún más sobre estos temas tan importantes y delicados.
Por supuesto, os dejo enlazado también los documentos oficiales para que podáis descargar el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 y descargar el boletín oficial de estado Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.