10 Jul 2013 · Blog · Actualizada el 27 Ene 2021

Aspectos legales de la LOPD

Conoce los nuevos aspectos legales para cumplir con la LOPD

¿Conoces que es la LOPD? Obligaciones en materia de protección de datos de carácter personal.

Vamos a describir las principales obligaciones que existen en materia de protección de datos de carácter personal para todas aquellas empresas que deseen abrir una tienda en Internet.

Notificación previa de los ficheros a la Agencia Española de Protección de Datos de la LOPD.

Cuando en nuestra tienda online recojamos datos personales, ya sea de clientes, usuarios, potenciales clientes, etc., se debe proceder a notificar todos estos ficheros que contienen datos personales a la Agencia Española de Protección de Datos (AEPD), obligación que debe realizarse previamente al inicio de las tareas de tratamiento de los datos.

Dicha notificación es gratuita. Para realizar la notificación se puede utilizar el Sistema de Notificaciones Telemáticas de la AEPD denominado Programa NOTA, al que puede accederse desde la página Web www.agpd.es. En esta página también podremos encontrar una guía rápida sobre como cumplimentar el formulario y una serie de preguntas frecuentes que nos ayudarán a realizar este trámite. Realizaremos una notificación diferente para cada uno de los ficheros que queramos inscribir. Algunos ejemplos de ficheros de datos de carácter personal que normalmente se tratan en una empresa con página web de comercio electrónico son: Clientes, Potenciales clientes, Suscriptores y Usuarios.

Una vez que bajemos el programa NOTA encontraremos que dispone de varias notificaciones tipo ecomo la notificación ficheros de clientes, que nos facilitará cumplimentar el formulario de notificación. A parte de los ficheros que hemos mencionado, la empresa normalmente también tendrá ficheros de empleados entre otros. La forma de envío del formulario de notificación de creación del fichero dependerá de la opción que hayamos seleccionado por correo postal o por Internet con o sin firma electrónica.

Una vez inscrito el fichero, la AEPD nos enviará una resolución con el código de inscripción otorgado a cada fichero. No obstante, si transcurrido un mes no hemos recibido ninguna noticia, se produce silencio administrativo positivo, es decir podemos dar por inscrito correctamente el fichero.

Obligación de información a la LOPD

Si en la página web se utiliza un formulario para recabar datos personales de los usuarios o clientes, o bien para permitir la suscripción a un boletín, es obligatorio incluir un aviso legal en materia de protección de datos, cuyo contenido debe informar de lo siguiente (Artículo 5 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal):

  • De la existencia de un fichero o tratamiento de datos;
  • De la finalidad de su recogida y de los destinatarios de la información;
  • Del carácter obligatorio o facultativo de la respuesta a las preguntas que se plantean;
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos;
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición;
  • De la identidad y dirección del responsable del tratamiento de los datos.

Para cumplir con esta obligación, es necesario colocar un aviso legal especifico bien visible justo debajo del formulario, o bien insertar un enlace permanentemente visible en la Web a nuestra política de privacidad.

Quien recoge datos personales tiene la obligación de poder acreditar que ha obtenido el consentimiento informado de las personas afectadas. En todas y cada una de las páginas web desde las que se recaben datos de carácter personal se debe incluir claramente
visible la información mencionada anteriormente, de forma que el usuario pueda obtenerla con facilidad y de forma directa y permanente. La Agencia ha manifestado en las recomendaciones que realizó en el año 2000 al sector del comercio electrónico que se puede optar por incorporar en todas esas páginas un texto o un botón adecuadamente etiquetado que, al ser seleccionado mediante un “click ”, permita obtener la citada información.

No obstante, considera más adecuada una opción según la cual la lectura de dicha información se presente como ineludible (y no optativa) dentro del flujo de acciones que deba ejecutar el usuario para expresar la aceptación definitiva de la transmisión de sus datos a la entidad que los está recabando.

También es recomendable tener constancia de la fecha en que el usuario nos facilitó sus datos a través de la web. Esta información es necesario conservarla durante todo el tiempo que vayamos a tratar los datos puesto que, nos servirá de prueba para demostrar en caso que nos los soliciten, que hemos obtenido el consentimiento necesario para poder tratarlos.

En los casos que vayamos a tratar los datos para otras finalidades que no sean la principal que motiva la recogida de los datos es necesario dar la opción a la persona que esta rellenando sus datos de manifestar que no desea que sus datos sean tratados para esa otras finalidades accesorias.

Otras obligaciones relacionadas sobre protección de datos de la LOPD

Medidas de seguridad. La creación y mantenimiento de un fichero de datos personales exige la aplicación de unas determinadas medidas de seguridad, tanto técnicas como organizativas, que podrán variar en función de la mayor o menor sensibilidad de los datos que lo integran. De entrada, se deberán aplicar las medidas de nivel básico a cualquier fichero, pudiendo ser exigible, además, la aplicación acumulativa de las medidas de los niveles medio y alto según los casos contemplados en la normativa. Pueden consultarse las diferentes medidas de seguridad en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Entre estas medidas destaca la necesidad de elaborar un documento de seguridad en el
que debemos recoger las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente en la empresa que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

Deber de secreto. El que una persona nos haya facilitado sus datos de carácter personal nos obliga a mantener la confidencialidad de los mismos y a no revelarlos a ninguna otra entidad salvo que le hayamos informado que vamos a ceder sus datos y hayamos obtenido su consentimiento. Esta obligación de custodia y secreto subsiste incluso una vez haya podido finalizar la relación con la persona.

Atención de los derechos. Las personas que nos hayan facilitado sus datos tienen derecho a poder conocer qué datos tenemos de ellos y para qué, a solicitar que los cambiemos o cancelemos así como a oponerse al tratamiento que realizamos con sus datos. Son los  derechos de acceso, rectificación, cancelación y oposición. Hay que responder siempre a la  solicitud que realicen informando sobre cual es el resultado de la misma. El plazo de tiempo en el que hay que hacerlo es de 10 días.

Contrato de tratamiento de datos. Cuando la página web en la que recojamos datos personales esté alojada en los servidores de otra empresa, y un informático que no es de nuestra empresa haga el mantenimiento de la página web o una empresa vaya a prestarnos un servicio de tratamiento de datos y en consecuencia vaya a tener acceso a la información que hay en nuestra base de datos, por ejemplo, para normalizar la base de datos, será necesario firmar un contrato de tratamiento de datos.

Dicho contrato está regulado en el artículo 12 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal LOPD y en los artículos 20, 21 y 22 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Más artículos relacionados

VULCANO en el Sector Eléctrico

21 Ago 2024 · Blog

Gestión de Vulnerabilidades y Ciberseguridad: La Innovación de VULCANO en el Sector Eléctrico

Gestión de Vulnerabilidades y Ciberseguridad: La Innovación de VULCANO en el Sector Eléctrico
Leer más
La digitalización y la protección de datos, los retos para las empresas

27 Ene 2023 · Blog

Principales desafíos de las empresas de software en relación con la protección de datos personales

El cumplimiento del Reglamento General de Protección de Datos (RGPD) busca asegurar la privacidad de los datos personales (los que identifican o pueden identificar a una persona física).  En la “Resolución sobre la Privacidad por Diseño” (AEPD, 2019) se reconoce a la privacidad desde el diseño como un componente esencial...
Leer más
Uso en CIC de Microsoft Teams, la herramienta por excelencia que nos mantiene conectados mientras trabajamos en remoto.

25 Mar 2020 · Blog

¿Quieres saber cómo puedes potenciar la colaboración de tu equipo en un entorno de teletrabajo?

En estos momentos tan difíciles es cuando más necesitamos relacionarnos con otras personas y en el entorno empresarial ha ocurrido lo mismo. La distancia social que se ha impuesto para frenar la curva y luchar contra el Coronavirus ha hecho necesario que la mayoría de las empresas tengan que realizar...
Leer más