La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), regula el tratamiento de datos personales en todas las empresas, organismos públicos y actividades profesionales.
Todas las empresas que trabajen en la red y que traten con algún tipo de dato de carácter personal (nombres de personas, direcciones de correo electrónico, números de teléfono, etc.) deben cumplir la LOPD.
Los sitios web que no cumplan la LOPD se arriesgan tener que pagar las siguientes sanciones:
LEVES: Multa de 601,01 € a 60.101,21 €
GRAVES: Multa de 60.101,21 € a 300.506,05 €
MUY GRAVES: Multa de 300.506,05 € a 601.012,10 €
Resumiendos los puntos a realizar:
- Incripción de Ficheros en la AGPD.
- Adecuación de la página web.
- Alojamiento de la página web.
1.-Inscripción fichero en la AGPD:
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en tres niveles acumulativos: BÁSICO, MEDIO y ALTO dependiendo de los datos que solicitemos a los usuarios.
NIVEL ALTO:
- Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
- Recabados con fines policiales sin consentimiento de las personas afectadas; y derivados de actos de violencia de género.
NIVEL MEDIO:
- Relativos a la comisión de infracciones administrativas o penales; que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);
- De Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;
- De entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;
- De Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen *con el ejercicio de sus competencias;
- De mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas;
- De los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización .
NIVEL BÁSICO.
Cualquier otro fichero que contenga datos de carácter personal.
- También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;
- Se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o que no guarden relación con la finalidad del fichero;
- En los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.
Una vez se sabe el nivel en el que se encuentra nuestra tienda tendremos que registrar nuestro fichero en la AGPD y posteriormente redactar el documento de seguridad.
-Redacción del documento de seguridad
Es un documento interno de la organización, que debe mantenerse siempre actualizado.
Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.
Los apartados mínimos que debe incluir el documento de seguridad son los siguientes:
- Ámbito de aplicación: especificación detallada de los recursos protegidos;
- Especificación detallada de los recursos protegidos.
- Medidas, normas, procedimientos, reglas y estándares de seguridad;
- Funciones y obligaciones del personal,
- Estructura y descripción de los ficheros y sistemas de información;
- Procedimiento de notificación, gestión y respuesta ante incidencias;
- Procedimiento de copias de respaldo y recuperación de datos;
- Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.
Si queréis conocer más detalles del mismo en el siguiente enlace:
2.- Adecuación en el diseño de la Página web:
- Obligar a quien se registra a aceptar el aviso legal para poder completar el registro, generalmente se marca una casilla con un enlace al aviso legal donde se detalla.
- Permitir por algún método el acceso, modificación y cancelación de sus datos a cada cliente / usuario registrado.
- Recoger el NIF/CIF/DNI de nuestros clientes .
- Páginas de información debidamente cumplimentadas con las Condiciones de Uso, Envíos, Devoluciones, Garantías, Carta de Desistimiento, etc.
- En el aviso legal se debe informar al interesado de forma previa, expresa, precisa e inequívoca de:
– De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los datos y de los destinatarios de la información.
– Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
– De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
– De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
– De la identidad y dirección del responsable del tratamiento, o en su caso, de su representante.
Ejemplo de Aviso legal.
De conformidad con la Ley Orgánica 15/1999 de Protección de Datos Personales y a través de la cumplimentación del presente formulario, Vd. presta su consentimiento para el tratamiento de sus datos personales facilitados, que serán incorporados al fichero xxxxxxx, titularidad de la EMPRESA XXX, inscrito en el Registro General de la Agencia Española de Protección de Datos, cuya finalidad es la gestión fiscal, contable y administrativa de la relación contractual, así como el envío de información comercial sobre nuestros productos y servicios.
Igualmente le informamos que podrá ejercer los derechos de acceso, rectificación, cancelación y oposición establecidos en dicha Ley a través de carta certificada, adjuntando fotocopia de su DNI/Pasaporte, en la siguiente dirección: EMPRESA XXX. Departamento de Atención al Cliente LOPD. C/XXXXXX nº X. CodigPostal Población.
El consentimiento no es más que la manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de sus datos personales. En las condiciones de uso habría que incluir el consentimiento libre exigido por la ley.
3.- Alojamiento de la página web.
Los servidores donde se ubique la página web deben estar ubicados en ESPAÑA, y es una condición indispensable sino deseamos realizar más trámites.
Muchas tiendas online españolas están alojadas en servidores extranjeros (sobre todo servidores americanos) por ser más baratos. Pero esto va en contra de la ley, los datos deben estar alojados en un servidor dentro del territorio nacional, si es así ya tienes adecuada tu página web a la LOPD y no es necesario realizar ningún tramite más.
En caso que tu página web este alojada fuera de España y de la UE continuamos.
Es el tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
Se consideran países que proporcionan un nivel de protección adecuado, los estados miembros de la Unión Europea, Islandia, Liechtenstein, Noruega o un Estado respecto del cual la Comisión de las Comunidades Europeas haya declarado que garantiza un nivel de protección adecuado, estando incluidos, hasta la fecha, entre estos últimos, Suiza, Argentina, las entidades estadounidenses adheridas a los «principios de Puerto Seguro», Guernsey, Isla de Man, Jersey, Islas Feroe y Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
Por lo tanto todos los paises que no se encuentren en esta lista y no estén adheridad a los principios de Puerto Seguro deberán realizar:
Por lo tanto deberemos:
- Notificar que tu base de datos va a sufrir una transferencia internacional.
- Que la empresa cumple con las directrices de puerto seguro.
- Que se encuentre inscrita en safeharbor.
Si necesitan conocer más detalles acerca del alojamiento de las página web de mano de la AGPD aquí.
Algunos usuarios preguntan en el foro de Prestashop si es necesario tener certificados SSL, la respuesta es no, pero es una medida de seguridad muy importante y que deberían implementarse en todas las tiendas.
Gracias por el artículo, muy interesante. Hace poco he contratado un hosting con 1and1 para una tienda en prestashop y veo que voy a tener que complicarme más con el tema de la LOPD al tener los de 1and1 los servidores en Alemania. Pero bueno para otra ocasión ya sé que debo hacer.
Muy interesante. Solo tengo una pregunta. Cuando el hosting es compartido y la base de datos SQL se crea (no se como ni donde) ¿como averiguo el nombre y la ruta real del fichero para poder difinirlo?.
Gracias por adelantado
Gracias por el artículo. Tenía muchas dudas referente a la LOPD. Tu artículo es lo mejor y más aclaratorio que he encontrado en la red.
Saludos
El hosting tiene que estar en la unión Europea, no tiene por que ser sólo España.
Correcto Manuel.
¿Y si tienes los datos en servidores de un país de la Comunidad Economica Europea?
Son válidos
Pues me parece muy mal que por ley estemos obligados a usar servidores Españoles o de la UE. Por suerte Amazon y Digital Ocean tienen servidores en la UE además de en EEUU.
En españa son prohibitivos los precios y muchas empresas se aprovechan cobrando una barbaridad al mes.