Iron blogger

 

LA PROTECCIÓN DE DATOS EN WEB Y BLOGS

  • Conceptos básicos de la LOPD
  • Quien tiene que cumplir con la LOPD
  • La LOPD en blog y web de comercio electrónico
  • E-mail Márketing ¿Cláusulas de privacidad? Con un pequeño truco para ésto.
  • Ley General de telecomunicaciones y Ley de Cookies.
  • Ruegos y preguntas.

 

CONCEPTOS BÁSICOS DE LA Ley Orgánica de Protección de Datos.

Antes de comenzar con la ponencia y tras ver los vídeos que muy amablemente nos han cedido los compañeros de RTVE, me gustaría que quedaran claros varios conceptos que a veces pueden crear confusión por obvios que parezcan.

¿Qué es la LOPD?

La Ley orgánica de Protección de Datos es la normativa española (Ley 15/1999) cuyo objetivo radica en preservar y proteger la privacidad de los datos de todos los usuarios (Españoles) frente a empresas, organizaciones o personas físicas que tengan dichos datos.

¿Qué es un fichero?

Es todo aquel conjunto de datos que se tienen en formato físico o automatizado (digital), en los que hay que conocer varias cosas:

• ¿Cómo se han recabado los datos de un fichero?

Debemos saber cómo se han obtenido ésos datos que hay en un fichero: Aportados por el propio usuario, por una cesión (acompañado por un contrato de prestación de servicios con cláusulas de cesión de datos)…

• ¿Qué finalidad tiene el fichero de datos?

Se debe conocer e indicar en el fichero para qué vas a utilizar los datos de ése fichero. Puede ser: facturación, ofrecer servicios comerciales, historial médico… Uno de los artículos clave en la LOPD regula este apartado, ya que no se puede utilizar ningún dato para una finalidad distinta para la que fue recabado. Por éste hecho la AEPD sancionó a Google con 300.000 euros.

• Nivel de Seguridad.

Dependiendo de los datos que haya en un fichero éstos pueden ser de nivel de seguridad Alto, medio o bajo. Un fichero con datos de salud, sexualidad, religión y demás son tratados con nivel Alto de Seguridad. Dependiendo del nivel de seguridad se deben tomar medidas para su protección y además realizar otras acciones de forma bianual como auditorías.

• Tratamiento de los datos.

Se tienen que conocer cómo se van a tratar éstos datos. Estos pueden tratarse de forma Automática, manual o mixta. Por ejemplo un fichero de clientes y proveedores, donde hay un programa que realiza y almacena las facturas, pero estas facturas también se imprimen en papel y se archivas, serían tratados de forma mixta.

• Cesión.

Si se van a ceder los datos se debe conocer a quién se le va a ceder. Hay cesiones de datos que son legales y otras cesiones ilegales. Para que haya una cesión de datos, el usuario que presta sus datos tiene que firmar expresamente una cláusula donde se especifica que sus datos pueden ser cedidos a otras organizaciones o empresas.

 

¿Qué hay que hacer para tener tu empresa adaptada a la LOPD?

Según la Ley 15/1999 de Protección de Datos una empresa que almacene y / o trate datos de usuarios debe cumplir cuantos artículos figuran en la Ley. Los más importantes son:

Todos los ficheros deben ser conocidos por la Agencia: Comunicación de Ficheros. (Ojo, no sus datos, sino los campos que se conocen o se van a conocer de cada uno de los ficheros), además de saber la finalidad, cómo se han obtenido, el nivel de seguridad, el tratamiento y la cesión de los mismos.

• Los usuarios que consientan ceder sus datos para ser incluidos en un fichero tienen que dar su conformidad de forma expresa en un contrato de prestación de servicios con las cláusulas pertinentes.

• Se debe conocer todos los colaboradores, que puedan gestionar datos de los ficheros: Por ejemplo el informático o el asesor.

• Se deben conocer los empleados que tienen acceso a datos. Cada uno de los empleados deberá firmar un anexo al contrato laboral con las cláusulas de confidencialidad.

Soportes. También deben conocerse los soportes que almacenen, traten o visualicen datos de los ficheros. Ya sean móviles, como tabletas u ordenadores portátiles, como pc’s de sobremesa.

Centros de trabajo y puestos de trabajo. Cada soporte estará en un puesto de trabajo y en cada puesto habrá uno o más soportes. Y además estos puestos de trabajo estarán en un centro de trabajo.

Derechos ARCO. Son los derechos que tiene todo usuario para acceder, rectificar, cancelar u oponerse a los datos que haya en un determinado fichero.

Entrada / Salida de Soportes. Cuando un soporte fijo o móvil sale del centro de trabajo, éste se debe informar en el registro de entradas y salidas de soporte.

Control de incidencias. Se debe tener una base de datos también con las incidencias que se tengan con los ficheros: Una rotura de un ordenador, formateo de un disco duro…

Tratamiento de Terceros. Si se tratan datos de otros usuarios que no son los nuestros, que están en un fichero que no es nuestro, debe haber un contrato de prestación de servicios con cláusulas de tratamiento de terceros y cesión de datos. Se debe conocer el nombre del fichero donde están esos datos, el número de regisro que la agencia concedió tras su comunicación, finalidad…. Y todos los datos restantes.

Política de contraseñas. Cuando se bloquea, cuantos caracteres, cuantos números y la longitud, caducidad…

Documento de Seguridad. Es el documento donde se recopila toda la información que anteriormente hemos descrito y que componen la política de privacidad y protección de datos de la empresa.

• Sanciones:

  • Sanción leve: 900 – 40.000 €
  • Sanción Grave: 40.001€ – 300.000€
  • Sanción Muy grave: 300.01 € – 600.000€
  • Sanción de la Directiva Europea: 2% Facturación anual.

 

2. QUIEN ESTÁ OBLIGADO A CUMPLIR CON LA LOPD

Mirar el siguiente post donde se explica de forma clara y detallada.

Post

3. LA LOPD EN BLOGS Y WEB DE COMERCIO ELECTRÓNICO

A menudo nos encontramos con distintas preguntas acerca de las necesidades en materia de protección de datos y política de privacidad de nuestros blog y nuestras web de comercio electrónico.

Una de las incógnitas que poca gente conoce es que:

Una buena adaptación a la LOPD de blogs y e-commerce hace que se tenga un mejor posicionamiento.

Esto es una aseveración contundente y probada, ya que una empresa o persona física que tenga su blog totalmente adaptado y cumpliendo tanto con la LOPD como con la LSSI tendrá una mejor reputación online y por ende ayudará a que su posicionamiento y el número de visitas sea más positivo. Por tanto la LOPD ayuda al SEO.

Pero ¿Qué tengo que incluir en mi web para cumplir con la LOPD?

• Aviso Legal. (Política de Privacidad). Debe ser clara, breve y de acuerdo con la ley. Se puede personalizar aunque hay plantillas que sólo hay que cambiar el nombre y pocas cosas más.

• Checkbox en los formularios. Según la Ley el usuario deberá aceptar expresamente que sus datos se incluyan en un registro y conocer la finalidad de tales datos. (debe estar todo en la política de privacidad). Por eso es tan fácil como poner un check box antes del botón enviar junto con el texto: Acepto sin condiciones la política de privacidad, con un enlace a la política de privacidad.

• Checkbox en los mensajes. Siempre y cuando los usuarios de los mensajes se utilicen para otra finalidad que no sea mostrar o controlar el acceso a la web y combatir el spam habrá que colocar un checkbox también en el formulario de mensajes.

• Aviso de Ley de Cookies si fuese necesarios (Ver punto siguiente)

• Checkbox en el registro de usuarios y un check box también para aceptar que te envíen información comercial.

Obviamente todo esto no sirve de nada si los ficheros donde se guardan los datos de los usuarios no son comunicados a la agencia y hay un Documento de Seguridad que reúna toda la protección de datos del blog.

En el caso de ser persona física, de no ser empresa ni organización ni nada por el estilo, también es necesario cumplir con la LOPD, y se deberán seguir los mismos procedimientos, sólo que obviamente hay que especificar que se es persona física.

Para realizarlo todo de forma adecuada: AirLOPD. (Además app en IOS para iPhone y para IPad). Con éste programa se puede adaptar tu empresa de forma adecuada y cumplir con la ley.

 

 

4. E-MAIL MARKETING

Otro aspecto que debemos tener en cuenta en nuestro blog o nuestra e-commerce es el cómo vamos a gestionar y proceder al envío de e-mail desde nuestro blog informando de un nuevo post, de un nuevo producto o de nuestros servicios comerciales.

Primeramente debemos saber que: NO PODEMOS ENVIAR UN E-MAIL DE PUBLICIDAD O INFORMACIÓN COMERCIAL A QUIEN NO NOS HAYA DADO SU CONFORMIDAD DE FORMA EXPRESA, A MENOS QUE EL E-MAIL SEA DE ALGUNO DE LOS PRODUCTOS RELACIONADOS CON UN CONTRATO FIRMADO.

Por ello, es una tontería comprar bases de datos de e-mail activos, para realizar nosotros mismos la campaña de e-mail marketing, ya que esas direcciones son ilegales y no podemos reenviar correos. Según la LOPD un envío de forma continuada de e-mail no deseados a una persona que no lo haya autorizado conllevaría una sanción de entre 40.001 y 300.000€, aunque ya hay jurisprudencia al respecto con varias empresas que han recibido sanciones de unos 150.000€ de multa económica por tal hecho.

Una solución es que contratar a una empresa que envíe esa información en nuestro nombre. Es decir. Que comparamos una base de datos pero además que sea la empresa que contratamos quien nos envíe los mails a sus clientes que previamente han aceptado expresamente el envío de información de otros.

Los E-mail deben tener la política de privacidad la base del correo electrónico con un enlace para poder que los usuarios puedan ejercer sus derechos de forma adecuada y fiable.

Con el última revisión de la Ley General de las Telecomunicaciones en sep. De 2013, se obliga al editor a facilitar una cuenta de correo electrónico o un enlace a un medio digital, para poder ejercer los Derechos de Acceso, Rectificación, Cancelación u Oposición a un fichero. No es necesario que el usuario aporte una fotocopia del DNI ni que firme ningún documento físico. De ésta forma se agiliza todo mucho más.

 

Truco de e-mail marketing seguro:

Enviar un correo solicitando el envío de información comercial. De ésta forma podemos enviar un mail a las empresas que queramos y a los usuarios que queramos solicitándole su permiso. Una de las características de AirLOPD que hemos hablado antes, es el envío de e-mail marketing de forma segura. Lo que hace es enviar una petición de información con dos botones, con dos enlaces si y no, si el usuario pincha en si, automáticamente le manda una primera campaña que previamente hemos cargado en HTML. Además guarda esa dirección para que se pueda exportar en un posible fichero para las futuras campañas de e-mail.

 

 

5. LEY GENERAL DE TELECOMUNICACIONES Y LEY DE COOKIES

Este sin duda es el punto estrella de la ponencia gracias a la controversia que ha creado ente editores, usuarios, portales y demás. Por todo ello espero poder aclarar por qué y para qué se utilizan las cookies y quien tiene necesidad de avisar con el famoso cartelito de la Ley de Cookies y los botones de aceptar o rechazar.

Primero sepamos lo que dice la Ley LSSI en su artículo 22:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

 

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

 

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

 

Esto como cualquier Ley es interpretable, y como la que pone las sanciones de acuerdo con la Ley es, en este caso, la Agencia Española de Protección de datos, en su guía dice que es necesario que aquellos editores, blog, web, portales etc.. Que utilicen Cookies tienen la obligación de informar al usuario y éste dar su consentimiento expreso para poder instalarse las Cookies. Pero como todo en esta vida, también hay excepciones, y así lo recalca la agencia:

 

Quedan exceptuadas de éste tratamiento y de ésta ley, las Cookies con las siguientes finalidades:

  • • Cookies de «entrada del usuario
  • • Cookies de autenticación o identificación de usuario (únicamente de sesión)
  • • Cookies de seguridad del usuario
  • • Cookies de sesión de reproductor multimedia
  • • Cookies de sesión para equilibrar la carga
  • • Cookies de personalización de la interfaz de usuario
  • • Cookies de complemento (plugin) para intercambiar contenidos sociales

 

Por lo tanto y en la práctica, un blog que no tiene publicidad de adsense ni de ninguna otra agencia de éste tipo, no hace falta que informe y recoja la aceptación sobre la instalación de Cookies. Tampoco una Tienda online que no vaya a utilizar datos de terceros.

¿Quién tiene que informar y aceptar el consentimiento?

Blogs y web que tengan publicidad de adsense o de cualquier otra agencia de publicidad, Web y blogs que vayan a ceder los datos a otra empresa, o que se instalen Cookies para anunciar publicidad de acuerdo con sus preferencias de búsqueda, como es el ejemplo del remárketing, y algunos más.

 

Por todo ello y después de todo, vemos infinidad de blogs personales con el aviso de la Ley de Cookies en el principio de la web, cuando en realidad nadie se ha preocupado en preguntar si era necesario o no, y si lo han preguntado le han asesorado mal.

 

En la era de las tecnologías, La Ley General de Telecomunicaciones, la LSSI y la LOPD datan de años en donde los móviles sólo servían para llamar o recibir mensajes. Ahora en un Smartphone puedes hacer casi todo lo que haces con un ordenador, por lo que las Leyes quedan obsoletas y hay una necesidad imperiosa de modificación.

Además está a punto de aparecer la nueva normativa europea de Protección de datos, que tratará de unificar posturas en ésta materia, por lo que será un buen punto de partida para lo que será la nueva Ley de Protección de datos y la nueva Ley de LSSI.

 

Ruegos y Preguntas.

Descarga de la presentación:

 

Puntúa este artículo
[Total: 0 Average: 0]
Antonio López
Antonio López Tomás
Director SEO en Elblogdelseo | Últimos Post

Antonio López Tomás es fundador y Director SEO en Elblogdelseo.com y en Seostar.es. Profesor de SEO y Marketing digital en varias universidades (Unizar, UMU, UCAM, UNAE, U. Pompeu Fabra...) y Escuelas de negocios (EAE, IEBS. Marketing and Web, Seoworking, AulaCM...). Speaker en eventos de Marketing Digital y Autor de "Pensamientos Viajeros".

2 comentarios
  1. Pedro
    Pedro Dice:

    Me hubiese gustado estar, porque me interesaba mucho el tema de protección de datos, te puedo hacer alguna pregunta con respecto a éste tema?

    Responder

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*