¿Cómo afecta la LOPD y la LSSI a mi negocio?

Desde el punto de vista de la Ley Orgánica 15/1999 de 13 de diciembre, protección de datos de carácter personal, y de la Ley 34/2002 de servicios de la sociedad de la información y del comercio electrónico, a la hora de tratar y manejar datos personales tanto en soporte electrónico como en formato papel debemos tener, grosso modo, las siguientes cautelas  a la hora de tratar datos de carácter personal e implementar servicios de la sociedad de la información y del comercio electrónico:

• Dato de carácter personal es aquel que puede ser vinculado a una persona física identificada o identificable, por lo que una simple fotografía, un número de DNI, una huella dactilar o una referencia catastral son considerados datos de carácter personal.
• Se deben notificar los diferentes tratamientos que se realizan a la Agencia Española de Protección de Datos, como pueden ser los de clientes, empleados, presupuestos, curriculum, control de acceso o videovigilancia.
• Implantar y tener actualizado un Documento de Seguridad de acuerdo con lo establecido en el Real Decreto 1720/2007 de desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal. Dicho documento debe contener tanto medidas técnicas como organizativas y es de obligado conocimiento y cumplimiento por parte de todo el personal que trata datos personales.
• Tratar únicamente los datos necesarios, adecuados y no excesivos para la finalidad del tratamiento para la que fueron recabados y borrarlos cuando acabe esa finalidad.
• informar previamente a los afectados sobre la finalidad del tratamiento, el responsable del tratamiento y la manera de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
• Obtener el consentimiento de los afectados antes de iniciar el tratamiento. Este deberá ser expreso si los datos tratados son especialmente protegidos (salud, origen racial o étnico, afiliación sindical, religión….) o si van a ser cedidos a terceros sin que esa cesión esté prevista en una ley.
• Firmar con los prestadores de servicios que acceden a datos personales (informáticos, servicios de cloud computing, asesorías laborales y fiscales, administradores de fincas…) el preceptivo contrato de acceso a datos.
• Solicitar autorización previa a la Agencia Española de Protección de Datos para las transferencias internacionales de datos (fuera del territorio de la Unión Europea), salvo que el país de destino tenga reconocido por la Unión Europea el “nivel adecuado de protección” o que la transferencia se ampare en alguno de los supuestos que eximen de la solicitud de autorización previa.
• Atender a las solicitudes de ejercicio de derechos de acceso, rectificación, cancelación y oposición, concediéndolo o denegándolo según proceda. La falta de respuesta equivale a la denegación del ejercicio del derecho lo que habilita al afectado a iniciar un procedimiento de tutela de derechos ante la Agencia Española de Protección de Datos.
En lo que respecta a la Ley 34/2002 de servicios de la sociedad de la información y del comercio electrónico, se pueden dar dos variables.
Si nuestra página web no tiene implementada la funcionalidad de comercio electrónico, sino que se trata de un portal que pretende presentar a la empresa, sus productos y facilitar el contacto con sus potenciales clientes, debemos tener en cuenta los siguientes aspectos:
• A través de los datos de contacto se van a obtener datos personales, por lo que al igual que el resto de tratamientos de datos de carácter personal, se estará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal al igual que para el resto de tratamientos que se realicen en la empresa: cláusula de información del tratamiento de datos, inscripción del fichero en la Agencia Española de Protección de Datos, firma del contrato de acceso a datos con la empresa de mantenimiento de la web y con el proveedor del servicio de hosting, elaboración del documento de seguridad, etc. Especial cuidado hay que tener con las imágenes que se publiquen sobre los empleados o clientes, ya que es necesario con carácter previo contar con el consentimiento expreso.
• Desde el punto de vista de la Ley 34/2002, de servicios de la sociedad de la información y del comercio electrónico debemos ubicar en la página web un aviso legal en el que conste información sobre el titular de la página web (razón social o nombre y apellidos, CIF/NIF, dirección postal y electrónica, mención a las licencias administrativas preceptivas para inicio de actividad, datos de inscripción en el Registro Mercantil, etc). También es necesario ubicar en dos capas el denominado “aviso de cookies” con información sobre las cookies instaladas y su uso, así como la manera de desactivarlas en los principales navegadores. Para finalizar esta ley regula como deben realizarse las comunicaciones comerciales por vía electrónica.
• Desde el punto de vista de la normativa vigente sobre propiedad intelectual, debemos tener especial cuidado con las imágenes utilizadas, ya que deben ser libres de derechos y con la reproducción o el link a documentos, imágenes, videos de terceros.
Por el contrario si implementamos en nuestra página web la funcionalidad de comercio electrónico, de manera que nuestros clientes puedan realizar compras de bienes o servicios, además de todo lo anterior, debemos tener presente lo siguiente:
• La Ley 34/2002, de servicios de la sociedad de la información y del comercio electrónico obliga a facilitar con carácter previo a la contratación una información sobre el proceso de contratación, así como remitir un acuse recibo cuando esta se produzca.
• La Ley 3/2014 de 27 de marzo, por la que se modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, establece un deber de información al igual que la Ley 34/2002 añadiendo la obligación de fijar el precio y los impuestos aplicables, lo procedimientos de pago y entrega, idioma o idiomas del contrato e información relativa al derecho de desistimiento cuando proceda, que es de 14 días, recordatorio del plazo legal de garantía, etc.
• Es muy recomendable reforzar las medidas de seguridad detalladas en el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, puesto que los ciberdelincuentes pueden decidirse a atacar a nuestro portal con la esperanza de obtener datos de nuestros clientes: número de cuenta corriente o tarjeta, usuario y contraseña (que pueden coincidir con los de otras plataformas online), etc.
El cumplimiento de estas normativas aporta valor añadido a nuestro producto o servicio. Este valor se materializa a través de la confianza que aporta al consumidor tener identificado al titular de la página web, conocer de antemano el producto o servicio y como se materializa el proceso de contratación y las garantías que se disponen en caso de incumplimiento total o parcial. También aporta valor en tanto que se mitiga el riesgo de “daño reputacional” derivado por ejemplo, de una brecha de seguridad en el tratamiento de los datos de nuestros clientes, provocada por un ciberataque o por un descuido de uno de nuestros empleados.