Conseguir un lead, una compra, una suscripción, un registro o aumentar el número de visitas a una web, son objetivos empresariales comunes que conllevan un almacenamiento de datos personales de los usuarios que tienen contacto con la página. Sus datos son registrados, ya sea porque ellos mismos nos los facilitan o simplemente porque las cookies instaladas los recaban para nosotros.
A priori recopilar datos de personas puede parecer inofensivo, pero no debemos olvidar que existe una legislación que protege la información personal del usuario y obliga a las webs que realicen estas prácticas a ajustarse a una serie de normas.
La legislación española vigente en materia de protección de datos de carácter personal es la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD).
El incumplimiento de esta ley comporta importantes sanciones que pueden ascender hasta 300 mil euros de multa por cada infracción “muy grave”, por lo que merece la pena dedicar tiempo a estudiarla y optimizar en consecuencia nuestra página web o negocio.
A continuación haremos un repaso de los conceptos de la ley y la forma de cumplir con ella, su ejecución resulta fácil y asequible para cualquier organización por pequeña que sea (puedes consultarla de forma íntegra en este enlace del BOE)
1. La propiedad de los datos personales es siempre de la persona física, no del poseedor del fichero de almacenamiento, aunque éste sí es el responsable. El usuario siempre tendrá derecho de acceso, rectificación y cancelación de sus datos.
2. ¿Qué es un dato de carácter personal?: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables (nombre, DNI, dirección, fotografía, cuenta bancaria, correo electrónico…). Debido al término “identificable”, datos que podrían parecer no personales como la dirección IP también están protegidos, ya que es posible identificar a un usuario rastreando la asignación de la dirección IP.
3. Quedan excluido de la LOPD: datos de personas jurídicas y ficheros personales con fin exclusivamente personal (listado de compañeros de la universidad), quedará incluido en la ley si ese listado se usa con fines comerciales (usarlos para el circulo de lectores)
4. Sólo se pueden recoger los datos exclusivamente necesarios para realizar la actividad objeto de la recogida.
5. Es obligatorio obtener el consentimiento "expreso, preciso e inequívoco" del usuario. Para ello hay que informar:
- De la existencia del fichero
- De la finalidad y destinatario de la recogida.
- Del carácter obligatorio u opcional y las consecuencias de otorgarlos o negarlos.
- De la posibilidad de acceder, rectificar y cancelar los datos.
- De la identidad completa del responsable del fichero.
6. Se debe elaborar un documento de normas y procedimientos para informar al usuario sobre el tratamiento de los datos y pueda así dar su consentimiento antes citado. Por ejemplo “Políticas de Privacidad” o “Condiciones legales”.
Es importante incluir todos los usos posibles de la información personal, por ejemplo necesitamos poner “para mantenerle informado” si queremos poder enviarles mails anunciando nuevos servicios.
7. El tenedor de los datos (responsable pero no propietario) no puede vender, donar, ceder, ni incluso mover la información sin el consentimiento expreso del propietario (el usuario). Por ello, no es posible habilitar bases de datos en el exterior (entendiendo por exterior fuera de la Unión Europea), lo cual imposibilita sin autorización utilizar servidores en América.
La excepción a esta norma ocurre cuando se subcontrata a otra empresa para realizar un servicio. En este caso no se considera cesión de datos pues la subcontratada no toma posesión de ellos en ningún caso.
8. Todos los ficheros con datos de carácter personal españolas deben estar registrados en la Agencia Española de Protección de Datos. Deben ser identificados, clasificados y registrados en la agencia.
9. La ley distingue tres tipos de datos personales, los que requieren medidas de seguridad básica, media o alta. Además, las medidas deben estar reflejadas en un documento denominado "Documento de Seguridad”.
- Seguridad básica: son los de carácter identificativo, personal, circunstancias sociales y académicos o profesionales. Por ejemplo, el nombre, el DNI o cualquier otro número identificativo, número de teléfono, dirección de correo electrónico, física o cualquier otro tipo de dirección (IP), estado civil, preferencia de idioma, formación, historial académico o profesional, etc.
- Medidas de seguridad: tener disponible un registro de usuarios autorizados; establecer un control de acceso personal; restricciones en el uso y conexiones de los ordenadores con datos de carácter personal; documentar los procedimientos de uso de los ficheros; controlar el uso, distribución y movimiento de los soportes físicos y hacer copias de seguridad como mínimo semanalmente.
- Seguridad media: datos de carácter económico, financiero, seguros y transacciones económicas y comerciales. Por ejemplo, la nómina, productos o servicios suministrados, datos bancarios de cobros, infracciones, etc.
- Medidas de seguridad (añadir a las anteriores): identificar nominalmente a las personas responsables; auditar el cumplimiento de los procedimientos cada dos años cuando menos; control de acceso físico a los sitios donde se alojan los ficheros; documentar el uso, distribución y movimiento de los soportes físicos y controlar la destrucción de soportes antiguos.
- Seguridad alta: datos sobre la ideología, afiliación sindical, religión, creencias, origen étnico, salud y sexualidad, policiacos y similares.
- Medidas de seguridad (añadir a las anteriores): cifrar los datos cuando estén en soportes distribuibles y en la transmisión de datos, mantener copias de seguridad en localizaciones distintas a los equipos; mantener el registro de acceso al menos dos años incluyendo la identificación del usuario, la fecha y hora de acceso, el registro accedido y la acción realizada y restricciones físicas al acceso a datos y soportes.
10. Siempre que se recojan datos, el usuario debe ser informado en el mismo sitio de la recogida sobre: la existencia de un fichero informatizado donde se guardarán sus datos, de su derecho de acceso, rectificación y cancelación de sus datos personales, del responsable del fichero y de la finalidad de la recogida de los datos y las consecuencias de no facilitarlos.
Para asegurarnos este punto es aconsejable algún mecanismo de aceptación como una casilla en la que ponga “he leído y acepto las condiciones de uso”. No basta con que la información esté sólo en un documento en el footer, por ejemplo.
Además de la LOPD, es importante detenerse en la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), la cual amplía los derechos de los usuarios en relación al envío de mensajes publicitarios por encima de la LOPD y contiene la totalidad de la directiva comunitaria sobre cookies. En ella se equipara el conjunto de cookies de los usuarios en un fichero con datos de carácter personal, lo que equivale a descargar la responsabilidad de la LOPD en ellas.
Actualmente esta es la ley vigente pero hay que tener en cuenta que en mayo de 2016 la Comisión Europea aprobó un nuevo reglamento sobre protección de datos que entrará en vigor automáticamente en mayo del 2018. Sin embargo, este reglamento no invalida la legislación actual que continuará vigente hasta que no sea derogada.