Cumplir con la RGPD, la LOPD y/o la LSSI es obligatorio según la actividad que realices en tu web. Hoy te voy a explicar qué requisitos legales tienes que aplicar en tu web, blog o tienda online sin necesidad de volverte loco como me pasó a mí la primera vez.
Si ya tienes tu propia web, blog o tienda online o estás a punto de crearla, no puedo dejar que sigas adelante con ella…
No si antes no te has parado a prestar atención a los requisitos legales que toda (o casi toda) web tiene la obligación de aplicar para no ser una “sin papeles” digital.
¿Sin papeles digital? ¿Qué dice este tarao?
A ver, hoy en día, con internet tan arraigado en nuestras vidas y que cualquier persona puede crear una página web a su antojo, el tema de la seguridad de los usuarios es algo muy importante.
Tan importante que está regulado por la ley, ahí lo llevas. No es que lo diga yo para complicarte la vida, no.
¿Por qué veo necesario hablar de los requisitos legales en una web?
Porque mucha de la gente que empieza en este mundillo se preocupa de cómo crear un blog, de cómo crear una tienda online, de qué es el SEO, de cómo hacer link building…
En fin, de un montón de cosas menos de si es necesario hacer algún trámite legal para poder llevar a cabo su actividad en su web.
De hecho, yo mismo en el primer blog que creé hace años pasé completamente del tema por total desconocimiento de las leyes.
Simplemente hay tantas cosas que quieres/tienes que hacer y aprender que no paras atención a los requisitos legales que requiere una web.
Así que vamos a ponerle solución al asunto.
A partir de la lectura de este artículo, pasarás de correr delante de la policía con tu manta a cuestas, a tener tu chiringuito bien montado y de manera legal.
¡Aclaración!
No te tomes este artículo como algo legal y sagrado. Todo lo que cuento son problemas que me encontré yo mismo en mi época de novato y lo hago basándome en mi experiencia. La ley puede cambiar con el tiempo, y aunque intentaré tener esta página actualizada siempre, es conveniente que mires la legislación actual en el momento de crear tu página web, blog o tienda online. Y por cierto, hablo en todo momento de las leyes de España, que es mi país.
Dicho esto… ¡Vamos allá!
¿En qué casos me puedo olvidar de los requisitos legales?
Pues siento ser yo quien te diga que en muy pocos.
Para empezar, si tienes una tienda online, es imposible que puedas olvidarte, así que continúa leyendo.
Si tienes una web o blog en la que vendas algún producto, tampoco te puedes olvidar, continúa leyendo tú también.
Si tienes una web o blog en el que recojas datos de los usuarios, aunque solo sea el nombre o el correo electrónico (y aunque sea a la hora de hacer un comentario en tus páginas), me temo que tienes que continuar leyendo, porque tampoco te puedes olvidar del tema.
Y por último, si tu web instala algún tipo de cookies en el ordenador del usuario, tampoco te libras, continúa leyendo.
Entonces, ¿quién se libra?
Solo te libras si tienes una web meramente informativa, en la que no vendas nada, en la que no pueda comentar nadie, en la que no recojas datos de ningún tipo de los usuarios y que no instale ningún tipo de cookies.
Si estás en esa situación… ¡Enhorabuena! Ya puedes cerrar esta ventana y seguir a lo tuyo.
Para el 99% de las personas… ¡continuamos!
Requisitos legales según el tipo de actividad de la web
Habiendo pasado el filtro inicial y habiéndose ido ya el 1% de los dueños de webs que no necesitan tomar ninguna acción legal, vamos a ver qué es lo que tienes que hacer tú con tu web según la actividad que lleves a cabo con ella.
Porque no tiene que cumplir los mismos requisitos una web que únicamente recoge emails de los usuarios para enviarles boletines de correo que una web que venda algún tipo de producto.
Almaceno datos de los usuarios
Almacenar datos de los usuarios es una cosa de lo más normal en todo tipo de webs, ya sean webs corporativas, blogs personales o tiendas online.
Con datos de usuarios nos referimos a cualquier tipo de información personal que introduzcan a través de algunos de los formularios de la web: nombre, correo electrónico, dirección, teléfono, edad, tarjetas de crédito o débito, etc.
Lo más habitual es que los usuarios tengan que introducir algunos de estos datos a la hora de dejar un comentario, utilizar un formulario de contacto o suscribirse al boletín de correo.
Así que sí, hasta por el más mínimo dato que recojas en cualquier formulario, por muy pequeño que sea, vas a tener que cumplir con unas obligaciones legales.
En este caso tienes que cumplir con la LOPD: la Ley de Protección de Datos.
No hacerlo puede ser sancionado con multas que van desde los 600 euros hasta los 60.000 euros. Así que yo no me lo pensaría mucho.
Cómo cumplir con la RGPD y la LOPD en tu web
¡ATENCIÓN! El contenido de este reacuadro rojo está desactualizado, sigue leyendo después del recuadro.
Este es un tema que me volvió loco cuando quise cumplirla por primera vez, debido a la falta de claridad a la hora de explicarlo tanto en la misma ley, como en los diferentes blogs que hablaban de los requisitos legales para webs.
La LOPD dice que tienes que inscribir un fichero de datos (de los usuarios) en la Agencia de Protección de Datos (AGPD).
Ahí es donde me surgieron las dudas.
¿Inscribir un fichero? ¿Un único fichero con todos los datos? ¿Tengo que crear un documento tipo Excel y escribir ahí todos los datos de los usuarios? ¿Tengo que subir ese fichero a la AGPD? ¿Y cada vez que un usuario nuevo me deje sus datos tengo que volverlo a subir? ¿Soy yo tonto o es que no está tan claro como debería?
Entonces te vas a Google y empiezas a buscar información, ¿y qué te encuentras? Miles de sitios repitiendo como un loro lo mismo que la LOPD: “tienes que inscribir un fichero con los datos de los usuarios en la Agencia de Protección de Datos”.
¡Bravo!
No te miento si te digo que me tiré varias horas intentando averiguar qué narices tenía que hacer con el puñetero fichero.
Días más tarde, hablando con un amigo, me dijo que también le pasó lo mismo que a mí con el dichoso fichero, cosa que me consoló y me sirvió para confirmar que no fui el único con problemas para entenderlo.
Eso, o nos juntamos dos tontos muy tontos.
El caso es que por fin vi la luz.
Al final encontré la información precisa de lo que tenía que hacer EXACTAMENTE. Ahora no recuerdo donde lo leí, si me acordara pondría un enlace a la web o blog en cuestión como agradecimiento y les enviaría un jamón ibérico como regalo, pero mi memoria no da para tanto.
La cuestión es que imagino que mi amigo y yo no seremos los únicos en todo el país que hayan tenido dudas con este punto.
Así que hoy quiero sacarte a ti de dudas y contarte qué es lo que tienes que hacer exactamente para cumplir con la LOPD (y después te daré mi dirección por si me quieres enviar ese jamoncito del que hablábamos).
Cómo inscribir el fichero de datos en la AGPD
Vale, ya sabes que tienes que inscribir un fichero de datos en la Agencia de Protección de Datos, ¿pero cómo?
Pues muy fácil.
No tienes que tener un fichero único con los datos de los usuarios. Ni siquiera tienes que tener un fichero como tal, como podría ser un Excel, un Word, o cualquier otro tipo de fichero.
El término “fichero de datos” es algo abstracto.
Basta con que tengas un modo de modificar o eliminar algún dato si alguna vez te lo pide un usuario.
Si tienes una web hecha con WordPress, eso lo puedes hacer fácilmente desde la pestaña “Usuarios” de tu panel de administración de WordPress.
Todos esos datos se almacenan en la base de datos de tu servidor. Pueden no estar juntos en la misma tabla, sino estar repartidos en varias, por lo que no están en un único “fichero de datos”.
Así que olvídate de tener un único fichero con los datos de todos los usuarios.
Entonces, ¿a qué viene eso de “inscribir el fichero de datos en la AGPD”?
Simplemente tienes que notificar a la AGPD que estás recogiendo datos de tus usuarios en tu web, qué tipos de datos son (de carácter identificativo son los más habituales, luego están los relativos a la comisión de infracciones, relativos a la salud, raza, ideología, etc) y que aceptas tus obligaciones como responsable de los mismos (que no los vas a vender, que puedes modificarlos y eliminarlos siempre que te lo pidan, etc).
¿Y cómo hay que notificar a la AGPD?
A través del Servicio Electrónico NOTA.
Entra en el enlace que te acabo de poner y en la parte central de la página verás esto:
Como deduzco que si estás aquí leyendo esto es porque es la primera vez que te enfrentas a los temas legales de una web, en esta ventana tienes que hacer clic en “Iniciar Nueva Notificación”.
Ya sé que es muy obvio y que no le ibas a dar al otro botón, pero puede que algún despistado no lo tenga tan claro ?
Si no acabaras la notificación en el mismo momento que la has empezado, entonces podrías continuar con ella haciendo clic en “Reanudar una Notificación”.
A partir de aquí podría enrollarme y contarte todo el procedimiento para inscribir tu fichero de datos, pero está perfectamente explicado en esta guía de la AGPD. Síguela y no tendrás ningún problema.
Cuando acabes el proceso, tendrás que esperar un mes aproximadamente y te enviarán una carta con la confirmación de la inscripción de tu querido fichero de datos.
La guardas en tu cajón de “cosas importantes”, la enmarcas como si fuera un diploma o lo que quieras, tú mismo, pero a partir de entonces ya puedes recoger datos tranquilamente de los usuarios sin miedo a que te caiga alguna multa.
Bueno, como has visto, toda la información que hay dentro del recuadro rojo de aquí arriba está desactualizada con la entrada en vigor de la RGPD.
¿Que qué es la RGPD?
La RGPD es el nuevo Reglamento General de Protección de Datos que entró en vigor el 25 de mayo de 2018 para toda la Unión Europea.
Este reglamento obliga a ampliar todavía más la información relativa a la privacidad de los datos que vas a recoger en tu web, entre otras cosas.
Otra cosa a tener muy en cuenta, es que con esta nueva ley no es necesario notificar a la Agencia Española de Protección de Datos de que recoges datos de tus usuarios inscribiendo un fichero de datos (vamos, lo que explicaba en el recuadro rojo de arriba).
Como me gustan las cosas simples y fáciles de entender, a continuación te voy a explicar punto por punto lo que tienes que tener en cuenta en tu web para cumplir con la RGPD.
Informar sobre la privacidad de los datos recogidos
Si con únicamente la LOPD ya tenías que informar a tus usuarios sobre la privacidad de los datos, ahora tienes que avisar más y mejor aún.
¿Dónde debes mostrar esta información?
1. Formularios:
En cada uno de los formularios de tu web donde recojas datos de tus usuarios, tienes que mostrar una primera capa de información, indicando lo siguiente: quién es el responsable de los datos, la finalidad de la recogida de los datos, la legitimación, dónde se van a almacenar, y los derechos que tienen tus usuarios.
También debes añadir un enlace hacia la política de privacidad de tu web.
Puedes ver un ejemplo en esta misma web:
No importa si se trata de un formulario de contacto, un formulario de suscripción, o incluso un formulario para dejar un comentario en el blog. Tienes que mostrar esta información en cualquier lugar donde recojas algún dato.
2. Política de privacidad:
Esta sería la segunda capa de información. Una página dedicada a explicar detalladamente cada uno de los puntos anteriores, junto con otras cosas que veremos luego.
Recibir el consentimiento explícito de los usuarios antes de recoger sus datos
Otra cosa imprescindible que marca la RGPD es que los usuarios den su consentimiento explícito antes de que recojas sus datos.
¿Qué quiere decir esto?
Que debes añadir en cada uno de los formularios de la web una casilla que los usuarios deben marcar conforme están de acuerdo con la política de privacidad.
Esta casilla se puede poner encima o debajo de la primera capa de información que hemos visto en el anterior punto, y debe ir acompañada del típico texto “He leído y acepto la política de privacidad” o algo similar.
Date cuenta que tiene que dar su consentimiento explícito. Es decir, el usuario tiene que marcar la casilla expresamente. En ningún caso la casilla tiene que estar marcada por defecto. Tampoco debe permitirse el envío del formulario si no se ha marcado la casilla, por lo que deberás configurarla para que sea obligatorio marcarla.
En la captura del anterior punto puedes ver también esta casilla (y en cualquiera de los formularios de esta web).
Tener acceso a los datos para su modificación o eliminación
Esto ya estaba vigente con la LOPD, pero ahora se hace mayor hincapié en ello.
En todo momento tienes que tener acceso a los datos de tus usuarios por si te alguno te pide modificarlos o eliminarlos.
Si tu web está hecha con WordPress no deberías tener problema con ello, porque el propio WordPress y la mayoría de plugins utilizados para formularios te permiten hacer esto con facilidad.
Recibir una doble confirmación de tus suscriptores
Si tienes formularios de suscripción en los que el usuario puede dejar su correo para recibir tu newsletter, tienes que configurarlo para que tenga que confirmar que realmente quiere suscribirse a tu lista. Es lo que se conoce como “doble opt-in”.
Para que lo entiendas mejor, cuando alguien deje su correo en el formulario y haga clic en el botón para suscribirse, debe recibir un email automáticamente para que confirme su suscripción. La mayoría de plataformas de email marketing permiten configurar esta opción, por lo que no deberías tener problemas con ello.
Hasta que el usuario no haya confirmado su suscripción, no aparece en la lista de suscritos, y por lo tanto, no puedes enviarle emails.
Notificar sobre el uso de cookies
Si tu web utiliza cookies (si no estás seguro, lo más probable es que sí las utilice, sobre todo si utilizas WordPress), deberás informar de ello en un lugar visible de la web.
Normalmente se hace mediante un mensaje en la zona superior o en la zona inferior de la web. Para recibir más información sobre este tema, te recomiendo que leas este artículo sobre cómo cumplir con la ley de cookies en WordPress.
Redactar la política de privacidad
Otra cosa que tienes que hacer para cumplir con la RGPD y la LOPD al 100% es redactar un texto legal en el que vas a comunicar a los usuarios que visiten tu web que no tienen de qué preocuparse, porque cumples la RGPD y la LOPD al dedillo.
Ese texto tiene que incluir una serie de datos:
Información sobre el responsable de los datos:
- Tu nombre o la denominación social de la empresa.
- NIF.
- Datos de contacto (dirección, correo electrónico…).
- Número de inscripción del registro en el caso de ser una empresa.
También tienes que indicar una serie de factores:
- Las leyes de aplicación de la web.
- Cómo pueden introducir los datos los usuarios.
- Cuales son necesarios para establecer la comunicación.
- Para qué vas a utilizar sus datos.
- Para qué deben introducirlos y qué ocurrirá si no lo hacen.
- Que te comprometes a mantener su confidencialidad.
- Que no vas a compartir sus datos con terceros.
- Que no vas a mandarles publicidad sin su consentimiento.
- Cómo pueden ejercer su derecho de acceso, rectificación, cancelación y oposición.
Toda esta información tiene que estar en un lugar visible y fácilmente accesible de tu web.
Normalmente se suele crear una página llamada “Política de privacidad” y se suele enlazar desde el pie de página.
No hace falta que lo pongas con una fuente tamaño 96, con que se vea bien sin necesidad de usar un microscopio ya valdrá.
¿Te parece un rollo tener que redactar los textos legales tú mismo? ¿Tienes miedo de dejarte algo importante? Olvídate de todo adquiriendo estos kits legales que te facilitarán mucho la vida. Más información aquí
Vendo algún producto o servicio en mi blog o tienda online
Si en tu página web, blog o tienda online vendes algún producto o servicio, a parte de cumplir con la LOPD, también tendrás que cumplir con la LSSI, que es la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.
Esta ley regula tus obligaciones como vendedor y proporciona a tus clientes la seguridad de que están “en buenas manos”.
La LSSI se aplica siempre que una web genere algún tipo de ingresos, ya sea por la venta de productos o servicios directamente desde la web, por publicidad o por la promoción de productos de terceros (productos de afiliados, dropshipping…).
O sea, que si ganas dinero gracias a tu web, sea por el método que sea, tienes que cumplir con la LSSI.
Por suerte, esta ley es más fácil de aplicar que la LOPD, ya que no necesitas hacer nada fuera de tu página web. Ni inscribir un fichero, ni notificar a una agencia, ni siquiera ir a decírselo a tu novia.
También debes saber que si no cumples con la LSSI puedes ser sancionado con multas que van desde 600 euros hasta 600.000 euros.
Cómo cumplir con la LSSI en tu web
En primer lugar, esta ley te obliga a informar en tu sitio web algunos datos sobre ti o sobre tu empresa.
Estos datos son:
- Tu nombre o la denominación social de tu empresa.
- NIF
- Datos de contacto (dirección, correo electrónico…).
- Número de inscripción del registro en el caso de ser una empresa.
Estos son los datos personales o de la empresa que debes indicar, pero no son los únicos datos que tienes que tienes que mostrar.
Estas son otras cosas que has de informar a tus usuarios:
- El precio de los productos o servicios, indicando si se muestran con los impuestos o sin ellos.
- El precio de los gastos de envío en el caso de que los hubiera.
- En los casos de profesionales colegiados: datos del colegio, número de colegiado y titulación académica.
- Si se necesita una autorización administrativa.
Normalmente se suele crear una página llamada “Aviso legal” o algo similar, y se añade un enlace al lado de la política de privacidad.
A parte de esto, tienes que cumplir la Ley de Cookies, de la que hablaré más adelante.
¿Te parece un rollo tener que redactar los textos legales tú mismo? ¿Tienes miedo de dejarte algo importante? Olvídate de todo adquiriendo estos kits legales que te facilitarán mucho la vida. Más información aquí
A modo de resumen, te diré que en teoría tienes que avisar a tus usuarios de que tu sitio utiliza cookies y tienen que darte consentimiento expreso para instalarlas para poder seguir navegando por la web.
Si no quisieran que se instalen en su ordenador, no podría seguir navegando por la web.
Conclusión
Ahora que ya sabes cómo no ser un sin papeles digital, es hora de ponerte manos a la obra con tu web, blog o tienda online para que cumpla con todas las normativas vigentes.
Resumiendo, tienes que tener claro que si recoges y almacenas algún dato de tus usuarios en tu web, por insignificante que sea, tienes que cumplir con la LOPD y la RGPD inscribiendo el fichero de datos en la AGPD mediante el Servicio Electrónico NOTA y redactar un texto legal con todos los datos indicados.
Y si vas a vender algo directamente desde tu web, tienes que cumplir con la LSSI redactando un texto legal con los datos indicados y cumpliendo con la Ley de Cookies.
Si quieres tener más información sobre temas legales para webs, blogs y tiendas online, te recomiendo que te des una vuelta por el blog de Marina Brocca, una experta en cuestiones legales y protección de datos. Está repleto de información muy buena que seguro que te va genial.
Y tú, ¿eres un sin papeles digital o tu web cumple todos los requisitos legales? Si te ha quedado alguna duda, utiliza los comentarios para hacerla.
Imagen del artículo: kjpargeter – Freepik
gracias, Sergio, por tu post. Has sido super claro! y es tal cual lo que dices «Entonces te vas a Google y empiezas a buscar información, ¿y qué te encuentras? Miles de sitios repitiendo como un loro lo mismo que la LOPD: “tienes que inscribir un fichero con los datos de los usuarios en la Agencia de Protección de Datos”.»pero nadie te aclara lo del fichero, cuando no tienes idea de lo que es…
muy didáctico y bien explicado todo
gracias!
Genial Patricia, me alegra ayudar a otras personas para que no se vuelvan igual de locas que yo buscando información sobre cómo cumplir con la LOPD en una web.
¡Gracias a ti por el comentario!
PD: te paso por privado mi dirección para el envío del jamón 😛
Hola muchas gracias. Soy de Venezuela. Y tengo mi sitio web con varios usuarios alrededor del mundo Claro mas de 90% de usuarios son de Venezuela. Debo inscribirme en la AGPD..o eso es solo para España?., no tengo empresa registrada. Debo usar mi rif personal
Hola Pablo,
La AGPD es una agencia española, por lo que no tienes que hacer nada con ella tú. Lo ideal sería que buscaras información sobre las leyes de tu país concretamente.
Un saludo.
Que tal Sergio, tu post me ha sido de gran utilidad, olé tus WEBS 😉
Un saludazo desde Barna.
Me alegro de haberte ayudado 🙂
Un saludo desde cerca de Barna.
Gracias Sergio,
Voy a empezar a crear una web y una de mis primeras dudas era sobre este tema, mira que he buscado información y no había dado con la respuesta hasta ahora, post genial para mi
PD
Ya estoy engordando al gorrino para enviarte un bon pernil
Hola Daniel,
Con la llegada de la RGPD han cambiado algunas cosas (tengo pendiente actualizar el post), pero a grosso modo sigue siendo parecido.
PD: deseando recibir ese jamoncito 😛
Hola Sergio, un gran post, muy bien explicado para inexpertos como es mi caso. Muchas gracias por tanta aclaración.
Solo comentarte que hoy por hoy cuando pincho en el link de servicio electronico NOTA no encuentro la manera de poder hacerlo y en el link esta nota no se puede acceder.
Entiendo que puede que haya cambiado y ahora ya no es igual.
Me podrías ayudar con este tema? (el jamón está de camino, jjj)
Gracias
Hola Susana,
Con la entrada en vigor de la nueva RGPD, algunas cosas han cambiado y ya no es necesario inscribir el fichero de datos a través del servicio NOTA.
Esta semana trataré de sacar tiempo para actualizar el artículo y adaptarlo a la nueva normativa 😉
Un saludo, espero con ansias ese jamón, jjj
Muy buen post. He descubierto tu web recientemente y me parece realmente buena, y sobre todo útil. Para los que nos estamos adentrando en este mundillo web y del marketing digital nos es de mucha ayuda.
Y estos temas legales, siempre tan enrevesados, es difícil tener claro como funcionan. Toda la información que has puesto me parece realmente buena. Mil gracias
Hola Mariano,
Muchas gracias por tu comentario, siempre intento escribir el mejor contenido para ayudar a personas como tú, me alegra saber que cumplo con mi propósito 🙂
Un saludo.