Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPDPágina web

Protección de datos en página web ¿Cómo cumplir LOPD y RGPD en 2022?

¿Has creado una página web para tu empresa? Entonces te interesa leer esta guía sobre protección de datos en página web y saber qué obligaciones RGPD y LOPD debes cumplir y cómo hacerlo.

¿Deben las páginas web cumplir la LOPD y el RGPD?

Sí, las páginas web deben cumplir la LOPD y el RGPD. Prácticamente todas las páginas web y sitios online deben cumplir la normativa de protección de datos en mayor o menor medida, puesto que basta con que registren la dirección IP de sus visitantes, para estar ya tratando un dato personal.

Si, además, tienes activados los comentarios, usas formularios de suscripción, usas botones de redes sociales o Google Analytics, o tienes una tienda online, entonces tendrás que cumplir sí o sí con la ley de protección de datos en la página web, ya que estarás recabando y tratando datos personales de tus visitantes, usuarios o clientes.

Evidentemente, el nivel de cumplimiento de las obligaciones y requisitos por parte de una página web en protección de datos varían en función del volumen y tipo de datos que se traten, la finalidad para la que se destinen esos datos o si se producen cesiones o transferencias internacionales. Aun así, hay varios puntos comunes respecto a protección de datos que todas las páginas web deben contemplar.

Ten en cuenta que irregularidades en el tratamiento de datos, puede llevar a alguno de tus usuarios a buscar en Google «cómo denunciar una página web», ya que cualquier vulneración de la normativa puede ser denunciada ante la AEPD y sancionada por esta y eso incluye tanto a una página web corporativa sin los correspondientes textos legales web como a un blog personal que tenga activados los comentarios, pero carezca de una política de privacidad.

tarifas proteccion datos

Cómo adaptar tu página web a la normativa de protección de datos

A lo largo de los siguientes puntos vamos a revisar las principales obligaciones a cumplir en materia de protección de datos personales en páginas web, que, en general, también servirán para un ecommerce, pero puedes ampliar la información al respecto visitando nuestra guía de protección de datos para tienda online.

Que tener en cuenta para que una pagina web cumpla la protección datos

Aspectos a tener en cuenta para que una página web cumpla la protección datos

Política de privacidad

La política de privacidad web es uno de los textos legales, junto al aviso legal y la política de cookies, que no puede faltar en tu página web. Su finalidad es cumplir con el principio de transparencia y el deber de informar a los interesados (los titulares de los datos) del RGPD, puesto que a través de ella facilitamos a los visitantes o usuarios de la web toda la información relativa al tratamiento de datos personales que se hace en la web.

Redactada en un texto claro y comprensible, como mínimo debe ofrecer la siguiente información:

  • Datos identificativos del responsable del tratamiento (que es el titular de la web, puede ser tanto una persona física como jurídica)
  • Finalidad del tratamiento (para qué se usan los datos recabados, ¿estadísticas?, ¿contacto?, etc.)
  • Base jurídica legitimadora para el tratamiento de datos (de las que figuran en el artículo 6 del RGPD)
  • Cómo se gestionan los datos personales
  • Plazo de conservación de los datos
  • Cesiones a terceros
  • En su caso, transferencias internacionales de datos y sus garantías
  • Uso de cookies (no confundir con la política de cookies, aquí solo se informa de que la web usa cookies y puede añadirse un enlace a esa política)
  • Vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento)

La política de privacidad debe estar publicada en una página o subpágina independiente y ser fácilmente accesible desde cualquier sección de la página web, motivo por el cual suele ponerse un enlace a la misma en el footer de la web (parte inferior). Además, cualquier formulario web o de comentarios debe incluir un enlace que conduzca a ella, aparte de la casilla de aceptación o check box desmarcada para su aceptación.

Política de cookies

Rara es la página web que no emplee algún tipo de cookies, por lo que generalmente, todas deben tener también la correspondiente política de cookies. Como la política de privacidad, debe aparecer en una página o subpágina independiente (aunque también es posible incluirla dentro de la política de privacidad) y ser accesible desde cualquier sección de la web.

En la política de cookies se deben recoger y describir todas las cookies que usa la web, habitualmente se agrupan por tipos: técnicas, analíticas, publicitarias, propias, de terceros, etc., además, se debe suministrar la siguiente información sobre ellas:

  • Finalidad
  • Titular de la cookie
  • Duración de la cookie

Así mismo, aquí también se explica cómo desactivar y eliminar las cookies del navegador.

Puesto que las cookies recaban datos personales, para poder usarlas es necesario tener el consentimiento de los usuarios. Recogeremos ese consentimiento a través del aviso o banner de cookies, un pop-up o banner en el que se advierte al usuario del uso de cookies, se le remite a la política de cookies a través de un enlace y se le permite aceptarlas o rechazarlas (bien mediante botones o check box desmarcadas). El aviso de cookies debe ser capaz de bloquear las cookies hasta que estas sean aceptadas por el usuario y de recordar su configuración.

Las únicas cookies que no necesitan del consentimiento del usuario para instalarse en su navegador, son las cookies técnicas y serán las únicas que puedan instalarse por defecto. Aun así, es necesario informar sobre ellas a los usuarios.

Aviso legal

Cualquier página web con fines comerciales, uso de publicidad o que recabe datos personales debe tener también un aviso legal publicado en su propia página o subpágina y accesible desde cualquier sección de la web.

En el aviso legal de página web (que regula la LSSI-CE) se recogen todos los datos identificativos y, en su caso, empresariales, del propietario de la web, así como otra información relacionada con el uso de la web. De manera resumida, el aviso legal debe contener la siguiente información:

  • Nombre o razón social del titular de la web
  • NIF o CIF
  • Dirección
  • Dirección de correo electrónico
  • En su caso, datos de inscripción en el Registro Mercantil o cualquier otro registro público en el que se esté suscrito
  • En su caso, datos relativos a la licencia administrativa correspondiente
  • En su caso, datos del Colegio Profesional y número de colegiado
  • En tienda online, información sobre precio de productos y servicios (especificando si incluyen impuestos) y gastos de envío
  • En su caso, códigos de conducta a los que nos hayamos adherido
  • Términos de uso de la web

Formularios web

Cualquier formulario que uses en la web, incluidos los comentarios, deben estar adaptados a la normativa de protección de datos. Esto implica que en ellos debes suministrar una primera informativa sobre la política de privacidad, una información básica que debe contener:

  • Identidad del responsable del tratamiento
  • Finalidad del tratamiento
  • Derechos de los interesados

Además, como ya dijimos, debe incluir un enlace a la política de privacidad completa y una casilla o check box desmarcada con el texto «Acepto la política de privacidad» o similar, para que los usuarios den su consentimiento expreso para el tratamiento de datos.

Ten en cuenta que por cada finalidad diferente a la que vayas a destinar los datos recabados, debería haber una check box. Es decir, si vas a usar el email para la suscripción también para enviar comunicaciones comerciales, debes informar de esa finalidad y colocar la correspondiente check box para que el usuario acepte o no ese tratamiento.

Para hacer estos formularios de acuerdo a la normativa de protección de datos en tu página web, si no tienes conocimientos de programación, puedes usar diferentes herramientas o plugins (más adelante recomendaremos algunos).

Newsletters y otras comunicaciones comerciales

Si quieres enviar newsletters u otro tipo de comunicaciones comerciales a los usuarios suscritos a tu web, primero, deberás haber recabado su consentimiento expreso para ello, tal y como hemos descrito arriba. Lo segundo, es que tus newsletter y resto de comunicaciones comerciales deben incluir información relativa a la normativa de protección de datos, no muy diferente a una cláusula sobre protección de datos de la página web, mediante la que informaremos a los usuarios de:

  • Identidad del responsable del tratamiento
  • Enlace a la política de privacidad
  • Vía para ejercer los derechos ARSULIPO
  • Enlace para revocar el consentimiento para recibir comunicaciones comerciales

 

Registro de actividades de tratamiento

Aparte de los textos legales web, hay otras obligaciones a cumplir en materia de protección de datos en la página web. Si tienes una empresa, muchas de estas obligaciones ya las deberías estar cumpliendo, por lo que es cuestión de añadir los tratamientos de datos de la página web a esos procesos.

Así, deberás llevar un registro de actividades de tratamiento de la página web; se trata de un documento de carácter interno que debe llevarse por escrito.

Es cierto que solo deben hacer este registro las empresas con más de 250 empleados o que traten datos personales a gran escala, de manera sistemática o traten datos de categorías especiales. Pero es recomendable hacerlo de todas formas, puesto que te ayudará a llevar un mejor control de los tipos de datos que tratas y las medidas de seguridad que tienen implementadas para protegerlos.

En cualquier caso, el registro de actividades de tratamiento deben contener la siguiente información:

  • Identidad del responsable del tratamiento y, en su caso, del encargado del tratamiento y del Delegado de Protección Datos (DPO) (dependiendo del sector de actividad de tu empresa y los datos que trates, puede que tengas obligación de designar un DPO)
  • Finalidad del tratamiento
  • Base jurídica legitimadora
  • Descripción de categorías de interesados y categorías de datos
  • Descripción de categorías de destinatario de los datos
  • En su caso, transferencias internacionales de datos y sus garantías
  • Plazo de conservación de los datos
  • Descripción de las medidas de seguridad implementadas

Análisis de riesgos y Evaluación de impacto

Deberás realizar el correspondiente análisis de riesgos de los tratamientos de datos que se deriven de la web, para determinar las amenazas a las que pueden quedar expuestos los datos personales de tus usuarios y así poder implementar las medidas de seguridad adecuadas para mantener la privacidad de los mismos.

Por ejemplo, una base de datos de los suscriptores de tu web con información de nombre y dirección de email, podría estar expuesta a accesos no autorizados y filtraciones, por lo que deberías cifrarla para minimizar ese riesgo.

Si tratas grandes volúmenes de datos o datos de categorías especiales o del análisis de riesgos se concluye un elevado nivel de riesgo para los derechos y libertades de los interesados, deberás realizar también una evaluación de impacto en protección de datos.

Recaba siempre el consentimiento expreso

En algunos de los puntos anteriores ya hemos mencionado que necesitas recabar el consentimiento expreso para poder tratar los datos de tus usuarios o suscriptores y hemos explicado cómo hacerlo respecto a las cookies y los formularios web.

Este consentimiento debe, además, ser verificable, por lo que deberá quedar constancia de que lo has pedido y recabado de acuerdo a la normativa. Actualmente, la mayoría de herramientas y plugins para el cumplimiento del RGPD y la LOPD incluyen una función de registro del consentimiento para el tratamiento de datos, por lo que te resultará complicado hacerlo.

En cualquier caso, recuerda que deberás recabar el consentimiento para cada finalidad diferente para la que vayas a usar los datos personales. Y que siempre debes remitir a los usuarios a la política de privacidad y la política de cookies mediante un enlace, para que puedan leer toda la información sobre el tratamiento y gestión de los datos personales pertinente.

Cesión de datos a terceros

Si vas a ceder datos a terceros (y es muy probable que lo hagas en una web, por ejemplo, si usas una plataforma de email marketing para contactar con tus suscriptores o Google Analytics), necesitas firmar con ellos un acuerdo de encargado de tratamiento, en el que, como responsable del tratamiento, establecerás las obligaciones para el encargado, el tratamiento que va a realizar, el plazo de conservación de los datos, la finalidad del tratamiento y que debe contar con las medidas de seguridad necesarias, así como cumplir con la normativa de protección de datos.

Si esas cesiones se hacen a terceros fuera de la UE o el Espacio Económico Europeo, deberás asegurarte de que son países con leyes equivalentes en protección de datos así reconocidas por la UE, o que se cuenta con las cláusulas contractuales tipo necesarias para garantizar el nivel de seguridad y privacidad de los datos correspondiente.

Notificar brechas de seguridad

Cualquier brecha de seguridad en la página web que pueda causar perjuicios de algún tipo a los interesados, debe ser notificada tanto a la AEPD como a los propios interesados en un plazo no superior a 72 horas desde que se tuvo conocimiento del incidente.

Auditorías periódicas

Para asegurarte de que mantienes el nivel de cumplimiento adecuado de la normativa de protección de datos en la página web, así como de que tienes implementadas las medidas de seguridad necesarias y efectivas para garantizar la seguridad y privacidad de los datos personales de tus usuarios, lo recomendable es incluir la página web en las auditorías periódicas de protección de datos de la empresa, hechas por una consultoría especializada en la materia, que garantizará el nivel de objetividad e independencia necesarios.

Gracias a estas auditorías, que deberían hacer como mínimo cada dos años, sabrás dónde debes mejorar y reforzar la seguridad y si hay algún problema que debas subsanar o una obligación que esté cumpliendo de manera insuficiente.

BANNER

Herramientas para adaptar la web a la protección de datos

Finalmente, os dejamos listadas aquí algunas herramientas que podréis usar para adaptar vuestra página a la protección de datos de manera más sencilla. Se trata, en su mayoría, de plugins para los formularios, el aviso de cookies o la inclusión de enlaces a los correspondientes textos legales de la web:

  • Atico34 Platform, es el software para gestión de protección de datos de Grupo Atico34, con esta herramienta podrás gestionar todo lo relacionado con la protección de datos, incluida la redacción de los textos legales de tu web, la adaptación de formularios web, el registro del consentimiento, etc. Todos nuestros clientes tienen acceso a esta plataforma online, intuitiva y fácil de usar.
  • Adapta RGPD plugin WordPress, plugin para la gestión de los textos legales y los formularios web.
  • WordFence, es una solución de seguridad para avisarnos de posibles incidentes de seguridad.
  • Delete Me, un plugin para facilitar a los usuarios ejercer su derecho de supresión y derecho al olvido.
  • GDPR Comments, para adecuar tus formularios web al RGPD.
  • Cookie Notice, un plugin para la gestión del aviso de cookies de tu web.
  • Cookie Consent Banner, otro plugin para crear y personalizar tu aviso de cookies.
  • Módulo Cumplimiento del RGPD de PrestaShop, para cumplir con la normativa si tienes tu tienda online en esta plataforma.
  • Gravity Forms, una solución para crear formularios de contacto personalizados y de acuerdo a la normativa en WordPress.

Si tienes dudas o necesitas ayuda para adaptar tu página web a la protección de datos, no dudes en ponerte en contacto con Grupo Atico34, estaremos encantados de ayudarte a cumplir con la normativa.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.