BlogVer todas las entradas

10 julio, 2013 Blog · e-Commerce

Aspectos legales del comercio electrónico. LOPD

proteccion-datos comercio electrónico. LOPD

Obligaciones en materia de protección de datos de carácter personal.

Vamos a describir las principales obligaciones que existen en materia de protección de datos de carácter personal para todas aquellas empresas que deseen abrir una tienda en internet.

Notificación previa de los ficheros a la Agencia Española de Protección de Datos

Cuando en nuestra tienda online recojamos datos personales, ya sea de clientes, usuarios, potenciales clientes, etc., se debe proceder a notificar todos estos ficheros que contienen datos personales a la Agencia Española de Protección de Datos (AEPD), obligación que debe realizarse previamente al inicio de las tareas de tratamiento de los datos.

Dicha notificación es gratuita. Para realizar la notificación se puede utilizar el Sistema de Notificaciones Telemáticas de la AEPD denominado Programa NOTA, al que puede accederse desde la página Web www.ag pd.es. En esta página también podremos encontrar una guía rápida sobre como cumplimentar el formulario y una serie de preguntas frecuentes que nos ayudarán a realizar este trámite. Realizaremos una notificación diferente para cada uno de los ficheros que queramos inscribir. Algunos ejemplos de ficheros de datos de carácter personal que normalmente se tratan en una empresa con página web de comercio electrónico son: Clientes, Potenciales clientes, Suscriptores y Usuarios.

Una vez que bajemos el programa NOTA encontraremos que dispone de varias notificaciones tipo ecomo la notificación ficheros de clientes, que nos facilitará cumplimentar el formulario de notificación. A parte de los ficheros que hemos mencionado, la empresa normalmente también tendrá ficheros de empleados entre otros. La forma de envío del formulario de notificación de creación del fichero dependerá de la opción que hayamos seleccionado por correo postal o por Internet con o sin firma electrónica.

Una vez inscrito el fichero, la AEPD nos enviará una resolución con el código de inscripción otorgado a cada fichero. No obstante, si transcurrido un mes no hemos recibido ninguna noticia, se produce silencio administrativo positivo, es decir podemos dar por inscrito correctamente el fichero.

Obligación de información

Si en la página web se utiliza un formulario para recabar datos personales de los usuarios o clientes, o bien para permitir la suscripción a un boletín, es obligatorio incluir un aviso legal en materia de protección de datos, cuyo contenido debe informar de lo siguiente (Artículo 5 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal):

  • De la existencia de un fichero o tratamiento de datos;
  • De la finalidad de su recogida y de los destinatarios de la información;
  • Del carácter obligatorio o facultativo de la respuesta a las preguntas que se plantean;
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos;
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición;
  • De la identidad y dirección del responsable del tratamiento de los datos.

Para cumplir con esta obligación, es necesario colocar un aviso legal especifico bien visible justo debajo del formulario, o bien insertar un enlace permanentemente visible en la Web a nuestra política de privacidad.

Quien recoge datos personales tiene la obligación de poder acreditar que ha obtenido el consentimiento informado de las personas afectadas. En todas y cada una de las páginas web desde las que se recaben datos de carácter personal se debe incluir claramente
visible la información mencionada anteriormente, de forma que el usuario pueda obtenerla con facilidad y de forma directa y permanente. La Agencia ha manifestado en las recomendaciones que realizó en el año 2000 al sector del comercio electrónico que se puede optar por incorporar en todas esas páginas un texto o un botón adecuadamente etiquetado que, al ser seleccionado mediante un “click ”, permita obtener la citada información.

No obstante, considera más adecuada una opción según la cual la lectura de dicha información se presente como ineludible (y no optativa) dentro del flujo de acciones que deba ejecutar el usuario para expresar la aceptación definitiva de la transmisión de sus datos a la entidad que los está recabando.

También es recomendable tener constancia de la fecha en que el usuario nos facilitó sus datos a través de la web. Esta información es necesario conservarla durante todo el tiempo que vayamos a tratar los datos puesto que, nos servirá de prueba para demostrar en caso que nos los soliciten, que hemos obtenido el consentimiento necesario para poder tratarlos.

En los casos que vayamos a tratar los datos para otras finalidades que no sean la principal que motiva la recogida de los datos es necesario dar la opción a la persona que esta rellenando sus datos de manifestar que no desea que sus datos sean tratados para esa otras finalidades accesorias.

Otras obligaciones relacionadas sobre protección de datos

Medidas de seguridad. La creación y mantenimiento de un fichero de datos personales exige la aplicación de unas determinadas medidas de seguridad, tanto técnicas como organizativas, que podrán variar en función de la mayor o menor sensibilidad de los datos que lo integran. De entrada, se deberán aplicar las medidas de nivel básico a cualquier fichero, pudiendo ser exigible, además, la aplicación acumulativa de las medidas de los niveles medio y alto según los casos contemplados en la normativa. Pueden consultarse
las diferentes medidas de seguridad en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, la información sobre las concretas medidas de seguridad que es necesario aplicar según los datos que tratemos la podemos encontrar en www.agpd.es en el apartado titulado responsable de ficheros. Entre estas medidas destaca la necesidad de elaborar un documento de seguridad en el
que debemos recoger las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente en la empresa que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

Deber de secreto. El que una persona nos haya facilitado sus datos de carácter personal nos obliga a mantener la confidencialidad de los mismos y a no revelarlos a ninguna otra entidad salvo que le hayamos informado que vamos a ceder sus datos y hayamos obtenido su consentimiento. Esta obligación de custodia y secreto subsiste incluso una vez haya podido finalizar la relación con la persona.

Atención de los derechos. Las personas que nos hayan facilitado sus datos tienen derecho a poder conocer qué datos tenemos de ellos y para qué, a solicitar que los cambiemos o cancelemos así como a oponerse al tratamiento que realizamos con sus datos. Son los  derechos de acceso, rectificación, cancelación y oposición. Hay que responder siempre a la  solicitud que realicen informando sobre cual es el resultado de la misma. El plazo de tiempo en el que hay que hacerlo es de 10 días.

Contrato de tratamiento de datos. Cuando la página web en la que recojamos datos personales esté alojada en los servidores de otra empresa, y un informático que no es de nuestra empresa haga el mantenimiento de la página web o una empresa vaya a prestarnos un servicio de tratamiento de datos y en consecuencia vaya a tener acceso a la información que hay en nuestra base de datos, por ejemplo, para normalizar la base de datos, será necesario firmar un contrato de tratamiento de datos.

Dicho contrato está regulado en el artículo 12 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal y en los artículos 20, 21 y 22 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Para conocer más sobre las mismas podemos consultar la web www.agpd.es

TEMAS RELACIONADOS