2014-03-19 Cómo hago que mi página web cumpla con la LOPD y la LSSI

¿Cómo cumplir con la LOPD y la LSSI en tu página e-commerce?

¿Sabías que el hecho de no informar sobre el almacenamiento de los datos personales o el uso de cookies puede acarrearte sanciones económicas por parte de la Agencia Española de Protección de Datos (AEPD)?

Sin ir más lejos, recientemente una conocida web de vales de descuento ha sido sancionada con nada menos que 20.000 € por no informar a sus usuarios del almacenamiento de los datos de sus tarjetas de crédito. Al mismo tiempo, la AEPD, ha impuesto la primera multa a una web por no informar a los visitantes sobre el uso de cookies.


Si crees que por ser un pezqueñín en medio del mar de internet, es imposible que la AEPD se fije en ti, puede que algún día te pegues un buen susto, a la vez que te rascas el bolsillo. Deberías saber que la mera denuncia de tu página web por cualquier persona anónima, puede dar inicio a un procedimiento sancionador, que termine en sanción. Por eso, hoy quiero darte un par de consejos básicos, sin marearte demasiado con los temas legales, sobre qué debes hacer para que tu web cumpla con todas las de la Ley, en relación a los datos de carácter personal.
A continuación expongo, a través de explicaciones sencillas y ejemplos claros, qué es lo que debes hacer para dar cumplimiento a las normas citadas:

1.- Cumplir con la LOPD

El artículo 5.1 LOPD “Derecho de información en la recogida de datos”, establece que:

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de   la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
El artículo anterior, se traduce en que en tu página web deberás introducir un formulario del estilo siguiente:

En cumplimiento con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (‘LOPD’), le informamos de que los datos personales e información que nos facilite al cumplimentar el presente formulario electrónico, serán incorporados en un fichero de datos de carácter personal titularidad de …………………..
En este sentido, le informamos que la recogida y tratamiento de sus datos tienen como finalidad la resolución de las consultas planteadas sobre el contenido de esta web. Los campos marcados con asterisco son de cumplimentación obligatoria, siendo imposible realizar la finalidad expresada si no aporta esos datos.
El hecho de utilizar el formulario de consulta implica que expresa su consentimiento para que los datos suministrados queden incorporados a un fichero automatizado titularidad de ………………………..
Asimismo, le rogamos que en este formulario de consulta no incorpore datos relativos a su salud, salvo que usted quiera indicarnos su grado de discapacidad o condición de discapacitado.
En todo caso, usted puede ejercitar los derechos de acceso, rectificación, cancelación y oposición, previstos por la Ley, dirigiendo un correo electrónico al Responsable del Fichero: ………………………………………., indicando su nombre y apellidos, e incluyendo como asunto del correo “Derechos ARCO”.

Este aviso deberá ser leído y aceptado por todos los usuarios que introduzcan datos personales en tu web a través de añgún formulario, por lo que te recomiendo que lo incluyas justo debajo del formulario, con una casilla que deban clicar del tipo “He leído y acepto la política de privacidad”.

2.- Cumplir con la LSSI

La Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI), fue creada en transposición de la Directiva Europea 2000/31/CE, para mejorar la seguridad de los usuarios en el comercio electrónico.
Recientemente, dicha ley se ha visto modificada por el Real Decreto Ley 13/2012, de 30 de marzo, y en concreto el artículo 22.2, introduciendo la obligación de informar sobre el uso de cookies en tu página web, para que el usuario acepte o rechace expresamente su uso. En concreto, se recomienda facilitar la información en el sistema de “doble capa”: una primera, a modo de anuncio breve en la homepage (seguro que ya lo has visto en multitud de páginas), y una segunda, en la que detalles las cookies concretas utilizadas. Deberías utilizar un texto similar al siguiente:
1ª capa (homepage):
Nuestra web usa cookies para ayudar a mejorar tu experiencia de navegación. Para más información acerca del uso de cookies, pincha aquí”

2ª capa (link a “aviso legal” “política de cookies”, etc.):
En este apartado re recomiendo que detalles al máximo (como te muestro en mi ejemplo), el tipo de cookies utilizadas, y que no te limites a decir que usas “cookies propias y de terceros), pues fue el escaso detalle de las cookies utilizadas uno de los fundamentos de la sanción mencionada.
A continuación te muestro algunos ejemplos de cookies comunes. Ojo, es solo un ejemplo que puedes coger como referencia, pero deberás adaptarlo al tipo de cookies que uses tú.
Uso de cookies

Nuestra página web utiliza cookies. Una cookie es una cadena de texto de información que un sitio web transfiere al archivo de cookies del navegador en el disco duro de su ordenador para que el sitio pueda recordar quién es usted.
Al acceder a nuestro sitio web o iniciar sesión en nuestra área privada, le enviamos una cookie de sesión cifrada. Una cookie de sesión es una cookie temporal que sólo permanece en el archivo de cookies de su navegador hasta que abandone el sitio web. Esta cookie se utiliza para validar su acceso a diferentes partes del sitio web.
Asimismo, ésta página utiliza Google Analytics, un servicio analítico de webs prestado por Google, Inc. Google Analytics utiliza cookies para ayudar a este sitio web a analizar cómo los usuarios utilizan el sitio.
Deshabilitar / Habilitar cookies
Usted tiene la posibilidad de aceptar o rechazar las cookies modificando la configuración de su navegador. Sin embargo, usted no será capaz de iniciar sesión en el sitio web si se desactivan las cookies. También puede eliminar manualmente las cookies de su sistema. Para obtener más información sobre cómo desactivar y habilitar las cookies debe buscar “Cookies” en la documentación de su sistema operativo.

———

Nombre Expira Datos almacenados Función
PHPSESSID Fin de sesión Sesión ID Se utiliza para el seguimiento de la existencia de su sesión en nuestro sitio web.
WAMUSER Fin de sesión Sesón ID encriptada Creado después del inicio de sesión. Se utiliza para validar la sesión autenticada a través de nuestros servicios en línea seguros.
ASP.NET_SessionId Fin de sesión Datos de la sesión encriptados Creado siempre que acceda una de nuestras aplicaciones en línea. Se utiliza para almacenar la información de estado de la aplicación,
mientras ésta se utiliza.

———

Cookies de terceros.
Google Analytics.

———

Cookie Expira Datos almacenados Función
__utma 2 años desde inicio / actualización Google Analytics Unique ID number Seguimiento de datos para Google Analytics. Ayuda a recavar información acerca del número de visitantes.
__utmb 30 minutos desde inicio / actualización Google Analytics Unique ID number Seguimiento de datos para Google Analytics. Ayuda a mejorar la sesión del usuario.
__utmbc End of session Google Analytics Unique ID number Seguimiento de datos para Google Analytics. Ayuda a mejorar la sesión del usuario, y si la sesión ha expirado.
__utmz 6 months from set / update Google Analytics Unique ID tracking numbers Seguimiento de datos para Google Analytics. Se usa para calcular parámetros de otros dominios.

———

Una vez tengas implementados estos avisos, tu web está a salvo, al menos en lo que refiere a la AEPD, de aquellos posibles clientes “avispados”, que siempre encuentran alguna manera de fastidiarte.

¿Tienes alguna duda acerca del uso de cookies o sobre qué información debes dar a tus visitantes? Plantea aquí tus dudas y te responderé encantada.

Sigue leyendo
  • Isa Simó

    Tengo una duda en el apartado 1D de la LOPD. Si en nuestro ecommerce ponemos un formulario como el que proponéis del estilo “En cumplimiento con lo dispuesto en la Ley Orgánica 15/1999″ no es necesario tener la opción de cancelación y oposición por el propio usuario en su cuenta, verdad? Quiero asegurarme que estoy cumpliendo la ley al no tener estas opciones en la cuenta de el usuario si simplemente lo publico en la página de política de privacidad.

    Y otra cuestión. Si el ecommerce es integramente en catalan, el apartado de tratamiento de datos puede ser en catalan o tiene que ser en español?

    Gracias!