Los que tenemos un blog sabemos que hay algunas leyes como la LOPD que debemos cumplir pero muchas veces no tenemos conocimientos suficientes sobre estos temas y contratar a un experto se puede salir de nuestro presupuesto.
Para eso está aquí Ana González del Río que nos aclarará todas estas dudas. Os dejo con ella:
Si te apasiona el mundo del bloguismo como a mí y tienes tu propio blog te interesa saber que no puedes actuar al margen de la ley, ni siquiera aquí. Es necesario cumplir los requisitos legales exigidos, entre ellos la normativa de Protección de Datos y la que regula los servicios de la sociedad de la información (LSSI).
Con Internet, cualquiera puede tener una página web o un blog donde expresar sus opiniones o hacer sus negocios y, la mayoría de las veces, esos sitios virtuales no se encuentran adaptados a las leyes.
Sí, ya sé que leer la ley es un tostón pero voy a ponértelo fácil. Te voy a explicar en unos sencillos pasos cómo cumplir la LOPD y la LSSI en tu blog sin que tengas que leer enrevesados textos legales.
¿Qué es la LOPD y quién está obligado a cumplirla?
La LOPD es la que regula las obligaciones referentes a la recogida de los datos, autorización, registro, conservación, uso, así como los datos especialmente protegidos y comunicación o cesión de los mismos. Esta ley garantiza que si facilitas datos en un blog (por ejemplo, para suscribirte a una newsletter), no se comercialicen y se mantengan debidamente protegidos.
Están obligados a cumplir la LOPD todas personas, empresas, organizaciones e instituciones que manipulen datos de carácter personal. Los datos personales son aquellos que hacen referencia a una persona física identificada o identificable.
Respecto al correo electrónico, tan solicitado para suscribirnos a cualquier blog, se considera dato de carácter personal cuando se vincula directa o indirectamente con una persona física. En ese caso, Cuidado: utilizar direcciones de correo electrónico sin consentimiento de los titulares infringe la normativa de Protección de Datos y puede ser sancionado por la Agencia Española de Protección de Datos.
Obligaciones exigidas por la LOPD a bloggers
La mayoría de los blogs nos piden datos personales, como nombre, apellidos, e-mail, para inscribirnos y, de esta manera, nos remitan sus publicaciones. Al hacer esto, se están recogiendo datos personales que identifican a personas físicas concretas y se almacenan estos datos.
Este conjunto de datos personales se denomina fichero y, como propietarios de un blog, somos los responsables de los ficheros que hayamos creado.
Las principales obligaciones que tenemos para cumplir la LOPD en nuestro blog son:
- Calidad de los datos: Los datos sólo pueden recogerse si son adecuados, pertinentes y no excesivos, y deben utilizarse para la finalidad para la que fueron recabados. Deben ser exactos y puestos al día, suprimiéndolos cuando ya no sean necesarios.
- Deber de información: Debe informarse a los usuarios a los que se pidan sus datos personales de que existe un fichero de datos personales y de la finalidad para la qué se va a utilizar tal fichero. Igualmente se deberá avisar de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, al igual que de la identificación y dirección del responsable.
- Consentimiento y comunicación de datos. El tratamiento de datos personales exigirá que exista un previo consentimiento del interesado o afectado.
- Deber de secreto: el responsable del fichero y aquellos que intervengan en el tratamiento de los datos personales están obligados al secreto profesional sobre esos datos, deber que seguirá existiendo aun después de finalizar sus relaciones con el titular del fichero.
- Seguridad: corresponde al responsable del fichero y, en su caso, al encargado del tratamiento, imponer las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal e impidan su modificación, pérdida, y su tratamiento o acceso no autorizado.
Pasos para cumplir la LOPD en un blog
Inscribir los ficheros con datos personales de que disponemos ante la AEPD
Para dar de alta el fichero de datos personales, recopilados en tu blog, lo primero que hay que hacer es descargarse un PDF interactivo desde esta página de la AEPD.
Para poder hacerlo sin problemas, debes tener en cuenta lo siguiente:
- El PDF interactivo solo funciona si tienes instalada la versión actual de Adobe Acrobat.
- Completa los datos del PDF y remítelo firmado a la AEPD (por correo postal o con firma electrónica si dispones de certificado digital).
- Conserva ese código de inscripción que obtendrás como respuesta a la solicitud si lo envías con firma electrónica.
- En un plazo de 30 días te enviarán una carta postal con la resolución de tu solicitud. Si está admitido, tu fichero ya está inscrito y puedes consultarlo aquí.
Si quieres más información puedes consultar la Guía de la AEPD.
Informar al usuario sobre la recogida y el uso de sus datos personales
Según la LOPD, debemos informar a los usuarios de forma clara y comprensible sobre:
- Nuestra identidad y dirección.
- La existencia de un fichero o tratamiento en el que se incorporarán los datos de los usuarios.
- Para qué se van a usar los datos personales de los usuarios.
- Si los datos personales de los usuarios van a cederse posteriormente a un tercero.
- La forma de ejercitar los derechos de acceso, oposición, cancelación y rectificación.
Esta información podemos realizarla a través de un correo para confirmar la suscripción en el que se advierta de estas cláusulas antes de efectuarse la suscripción definitiva. Pero lo habitual es informar a través de la Política de Privacidad que debemos incluir en la página del blog.
Las cláusulas de información dirigidas a informar al usuario sobre los términos y condiciones de tu blog son un requisito básico desde el momento en que usas cualquier sistema de recopilación de información personal, como un formulario de contacto o suscripción y con mucha más razón si llevas a cabo procesos de venta directa o indirecta, como la obtención de ingresos mediante anuncios.
Transferencias internacionales de datos
En el caso de que vayamos a realizar alguna transferencia de estos datos personales a terceros países debemos informar a la Agencia Española de Protección de Datos. Por ejemplo, en una campaña de e-mail marketing o envío de newsletter, en la que usamos aplicaciones de terceros, es de vital importancia conocer a fondo la política de privacidad de esas empresas, debiendo estar seguros de que el encargado del tratamiento de esos datos cumple las oportunas obligaciones de seguridad y privacidad.
Contratos de acceso a datos por cuenta de terceros
Como responsables de un fichero de datos personales debemos asegurarnos de que quienes tengan acceso a esos datos actúen con la misma diligencia que nosotros en el tratamiento que realicen de los mismos.
Esta figura se denomina encargado del tratamiento y, en el caso de un blog, sería un desarrollador web, proveedores informáticos, moderadores autónomos, servidores de hosting, gestoría, etc. u otros proveedores de servicios, como pueden ser trabajos de limpieza, arrendamiento de locales, etc., que por el tipo de servicio prestado pueden acceder a los datos personales de los que tu eres responsable.
Es necesario firmar con estos encargados del tratamiento un contrato de acceso a datos personales para garantizar que hacen un uso adecuado de la información a la que tienen acceso. En este contrato se debe especificar: el tipo de colaboración, el tipo de acceso a datos personales, la duración del encargo y los términos en que pueden usar esta información.
¿Y qué pasa con la LSSI? ¿Tengo que cumplirla?
La LSSI regula cualquier notificación que se efectúe por un medio electrónico con objeto de evitar abusos y proteger a los usuarios. Sobre todo nos interesa el apartado dedicado a la Ley de Cookies que obliga a informar del uso de cookies y al usuario y a que éste consienta que acepta su uso.
En caso de los blogs, es difícil determinar si tienen un beneficio económico. En principio, si en tu blog no tienes publicidad ni vendes nada, no estás sujeto a la LSSI y a la ley de Cookies. Personalmente, te recomiendo incluir en el blog la política de cookies por si acaso.
Política de Cookies
La LSSI obliga a informar sobre el uso de cookies de manera clara, completa y previa a su instalación, de forma que se pueda conseguir el consentimiento informado del usuario previamente a ser descargadas y en esto precisamente reside su complejidad.
Debes otorgar al usuario la posibilidad de salir de la web sin que se le hayan instalado cookies, es decir, tenerlas atadas hasta que el usuario te dé su consentimiento y luego abrir el grifo de las cookies para que se expandan por el ordenador del usuario.
Para avisar de las cookies, existen varias formas:
- Página de bienvenida con el aviso sobre cookies y botón de aceptar
- Ventana emergente previa que interrumpa la carga completa de la página hasta la aceptación
- Encabezamiento o pie de página con la advertencia y una caja de aceptación.
Consecuencias de incumplir la LOPD y LSSI
Los efectos más importantes que se producirán en caso de incumplimiento de la normativa legal tanto en una web como en un blog son:
- Abandono legal en caso de reclamaciones injustificadas:no tener un blog legal es no proteger tus propios intereses y admitir reclamaciones incoherentes por no protegerte legalmente. Debes considerar que estás regulaciones no solo preservan los intereses de usuarios y consumidores, protegen asimismo los de los prestadores como tú.
- Sanciones inasumibles y riesgos en tu reputación:Una denuncia de un usuario por incumplir con tus obligaciones legales en materia LOPD y LSSI puede originarte importantes sanciones por infracciones a la LOPD y la LSSI que pueden hacer explotar todo tu proyecto y acabar con tu reputación.
- Detrimento de competitividad:tener un blog al margen de la legalidad te deja en descubierto ante tu propia competencia y te quita fiabilidad profesional. Tu competitividad será menor si no puedes garantizar derechos y deterioras tu imagen profesional.
- El nuevo Reglamente europeo de Protección de Datos: no solo fortalece la actual LOPD sino que exige mayores obligaciones y controles a todos los operadores que realicen tratamientos de datos personales, en especial, los que actúen por internet.