Saltar al contenido

ciberseguridad

Adaptación de una página web a la LOPD: pasos a seguir

La pasada semana explicamos la importancia de adaptar una web a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Ya comentamos los derechos y obligaciones que debe seguir cualquier negocio de base digital y tecnológica. Pero, ¿Cómo se debe de realizar esa adaptación? Obviamente, poner en manos de profesionales el proceso sería lo ideal. Para ello, el software de adaptación a la LOPD de TecnoLOPD es perfecto.

No obstante, es importante conocer los pasos que debe llevar a cabo cualquier portal online para estar debidamente adaptado a las exigencias de la Ley de Protección de Datos. Además, esto es primordial para evitar las posibles sanciones y multas de la Agencia Española de Protección de Datos. Teniendo en cuenta el nuevo Reglamento Europeo de Protección de Datos, cualquier negocio digital debe de proteger la información personal de todos los usuarios.

Cómo adaptar la web a la LOPD

  1. Informar de los ficheros

La ley vigente exige que cada página web informe debidamente a la AEPD de los ficheros en los que organizan los datos personales que recogen. Para ello, es necesario auditar el portal online y averiguar cuáles son esos ficheros. Esto es fundamental, ya que establecerá el nivel de protección a aplicar (alto, medio o bajo).

Cada fichero debe de cumplimentarse y notificarse a la Agencia Española de Protección de Datos. Para ello se puede recurrir a la presentación online o en papel.

Si tu página web recurre a las Transferencias Internacionales de Datos (fuera de la Unión Europea) es importante que lo notifiques a la AEPD de forma expresa.

  1. Textos legales obligatorios

La legalidad vigente se ha puesto muy dura frente a esta cuestión. Por ello, publicar los textos legales en cualquier negocio online es importantísimo. Se trata del aviso legal, la política de privacidad, la política de cookies y las condiciones de contratación. Toda la información que se aporta en estos textos debe de ser concisa y clara.

–          Política de privacidad: en este texto legal se debe de identificar al responsable de tratamiento de los datos que se recogen a través de la página web, además de todos los datos fiscales y de contactos de la empresa o persona que se esconde detrás de dicho portal. Hay que explicar cuál es el fin del tratamiento de los datos y especificar que esos datos serán debidamente protegidos. Aquí hay que incluir los famosos derechos ARCO, de acceso, rectificación, cancelación u oposición.

–          Las cookies: seguro que has visto infinidad de alertas de cookies en tus visitas a diferentes webs. La Ley exige que se informe al usuario de ello. En este texto legal se debe explicar qué son las cookies y solicitar la aceptación o no de las mismas. En otro artículo hablaremos más detenidamente de las cookies.

–          Aviso legal: se trata de uno de los textos fundamentales para cualquier entorno online. Se debe informar del uso de los datos y de las obligaciones específicas derivadas de la LOPD.

–          Condiciones de contratación: se trata de un complejo texto legal que solamente debe incluirse en el caso de que la página web venda productos o servicios. Aquí es importante especificar todas las condiciones de la compra, como el precio, gastos de envío, plazos de entrega y devolución, formas de pago, derechos y obligaciones del usuario, etc.

  1. Formularios online

La Ley de Protección de Datos especifica claramente la necesidad de que el usuario o cliente esté perfectamente informado sobre el uso que se dará a sus datos. Por ello, si se colocan formularios de contacto, que recogen datos online, habrá que pedir al usuario que acepte o deniegue el tratamiento de los mismos.

  1. Doble opt in

Se trata de la doble aceptación del usuario a la recogida de sus datos a través de registros y formularios online.

Básicamente estos son los pasos más característicos a la hora de adaptar una página web a la LOPD. No obstante, las necesidades pueden variar en función del tratamiento que se da a los datos o de las especificidades propias de cada portal online. Por ejemplo, si hay cesiones de datos con terceros, es imprescindible informar de ello. Por este motivo, la auditoría previa es tan importante.

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

Entrada en vigor del acuerdo Privacy Shield con Estados Unidos

Por fin el pasado 12 de julio de 2016 Europa y estados Unidos llegaron a un acuerdo sobre la transferencia de datos entre empresas digitales de ambos países, que pondría fin al bloqueo económico que ya duraba algunos meses. De hecho, muchas empresas tuvieron que paralizar sus actividades con USA debido a esta situación. Privacy Shield es el sustituto legal del antiguo Safe Harbour.

El Tribunal de Justicia de la Unión Europea derogó el anterior acuerdo, conocido como Safe Harbour, al entender que el nivel de protección de los datos de los ciudadanos europeos no era lo suficientemente elevado. Desde ese momento y hasta el pasado día 12 de julio se ha estado trabajando en la adecuación de un nuevo acuerdo, que lograra garantizar las transferencias de datos internacionales y se acercara al nuevo acuerdo europeo de protección de datos de carácter personal. De esta forma se finiquita el vacío legal que tenía paralizada a la economía digital entre ambos países.

A modo de resumen, lo que hace Privacy Shield es garantizar la ciberseguridad internacional, aportando mucha más transparencia en la gestión de los datos, así como varias obligaciones nuevas por parte de los agentes que intervienen en esas transferencias internacionales. Además, el ciudadano europeo tendrá en su haber más garantías en este sentido.

Las claves de Privacy Shield

Repasar el acuerdo de forma exhaustiva nos obligaría a alargar este artículo demasiado. Por este motivo, vamos a hablar de las claves más importantes y las novedades que ofrece Privacy Shield en materia de ciberseguridad. Es muy importante tener claro que cualquier empresa puede acogerse de forma voluntaria al nuevo acuerdo, pero respetarlo es totalmente obligatorio. Es decir, todo aquel que trabaje con datos de ciudadanos europeos deberá asumir los puntos del acuerdo, haya firmado y suscrito el mismo o no.

  1. Más obligaciones para las empresas

Cada empresa, participe o no en el acuerdo, se someterá a revisiones periódicas por parte del Departamento de Comercio de Estados Unidos. Esto se hace con el fin de garantizar que se está respetando Privacy Shield en todos sus puntos. El no cumplimiento de la norma puede desembocar en sanciones severas.

  1. Transparencia por parte de EE.UU.

El gobierno estadounidense ya no podrá acceder y vigilar de forma indiscriminada los datos de los ciudadanos europeos.  En este sentido, el departamento de seguridad nacional americano tendrá muchas más cortapisas para realizar estas acciones y, además, se someterá también a una supervisión.

  1. Derechos del ciudadano protegidos

Algo novedoso y muy importante es que Privacy Shield permitirá a cualquier ciudadano de la Unión Europea tener acceso a opciones de resolución de incidencias, si considera que sus datos no están siendo utilizados de forma correcta y segura. Cada queja se podrá interponer de varias formas: con la propia empresa o a través de la Agencia Española de Protección de Datos (en el caso de España). En el caso de que el conflicto no obtenga resolución por estas vías se podrá recurrir a un juicio de arbitraje dentro de la UE.