Ricard Castellet

¡Sí, necesitas un Aviso legal en tu web!

por

Son preguntas recurrentes. ¿Qué es el Aviso legal? ¿Necesito uno para mi web? ¿Tiene que ver con la Protección de Datos? Quiero aprovechar este post para aclarar las dudas y explicar cuál es su obligatoriedad, el contenido mínimo y su función. Ponemos en marcha así una serie de artículos que cubrirán los diferentes aspectos que tenemos que tener en cuenta para que nuestra web sea completamente legal.

¿Qué es el Aviso legal?

El concepto de Aviso legal se refiere a la advertencia legal que se incluye en la mayoría de webs y que recogen, por un lado, la responsabilidad del propietario de la web y, del otro, los derechos del visitante del lugar.

¿Por qué es obligatorio disponer de un Aviso legal?

Porque así lo dice la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).

¿Cuándo es obligatorio tener un Aviso legal?

Está obligada a exhibir el Aviso legal toda web de carácter corporativo, es decir, que pertenezca a una empresa o a un profesional, que tenga o pretenda tener actividad económica o que esté relacionada con algún tipo de actividad profesional.

Entran dentro de estos supuestos a) las webs o blogs corporativos que tienen como finalidad ofrecer, divulgar o promocionar algún tipo de actividad profesional; b) todas aquellas webs dedicadas al comercio electrónico, tiendas en línea, e-commerce que ofrezcan productos o servicios y c) sitios web que incluyan algún tipo de publicidad.

¿Qué tiene que incluir el Aviso legal?

  • Nombre o denominación social, NIF/CIF y datos de contacto (domicilio, correo, etc.)
  • Inscripción en el Registro Mercantil, si la empresa está registrada
  • Autorización administrativa si la actividad lo precisa
  • Datos del Colegio Profesional si la actividad está regulada
  • Términos de uso de la web para regular derechos y responsabilidades de los usuarios
  • Referencia a los derechos de Propiedad Intelectual, tanto propios como de terceros
  • Responsabilidad y garantías del titular de la web
  • Fecha, versión y vigencia de la información y posibles cambios

¿Dónde tengo que poner el Aviso legal en mi web?

Se tiene que poner un enlace al pie de todas las páginas de la web. El objetivo es que esté siempre disponible para consultar. El contenido tiene que ser solo el propio Aviso legal.

¿Y si no cumplimos?

Pues, como siempre, estaremos expuestos a sanciones, añadiremos el daño reputacional y no generaremos confianza entre nuestros clientes y usuarios.

¡Cuidaos!

¡No perdamos los papeles!

por

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha sancionado a un abogado que tiró documentos con datos personales de varios clientes junto a un contenedor de basura. Entre los papeles se encontraban escrituras, poderes notariales, sentencias de órganos judiciales, fotocopias de DNIs de clientes, testamentos y otros documentos con datos personales.

La Agencia considera que el abogado ha infringido el artículo 32.1 del Reglamento General de Protección de Datos (RGPD) que hace referencia a la Seguridad del tratamiento y tipificada en el artículo 83.4.a. Aun así, la Agencia solo impone una simple amonestación porque considera que la multa administrativa que podría corresponder por la infracción sería desproporcionada por el reclamado. Solo hay que recordar que la sanción establecida por el RGPD en este artículo puede llegar a los 10.000.000€ o, en el caso de empresa, una cuantía equivalente al 2% del volumen total de negocio anual global del ejercicio financiero anterior, optando por la de mayor cuantía. No es ninguna broma.

Según la AEPD, la responsabilidad del letrado viene derivada de la quiebra de seguridad en el tratamiento de los datos personal bajo su responsabilidad. Y esto tiene mucho que ver con no haber implantado de forma efectiva las medidas de seguridad –legales, técnicas y organizativas– adecuadas para garantizar el nivel de seguridad apropiado. Así se podría haber asegurado la confidencialidad de los datos en caso de un incidente como es el caso.

Este incidente se podría haber evitado si el despacho hubiera dispuesto de una Política de Eliminación de la documentación y los protocolos correspondientes. Así, para la destrucción de papel se puede, desde utilizar una simple destructora con las características adecuadas hasta la contratación del servicio a una empresa especializada en la destrucción de documentación, homologada (Norma UNE EN-15713) que certifique el proceso. Una medida de seguridad sencilla, al alcance de todo el mundo que nos puede ahorrar un disgusto, sobre todo a nivel reputacional.

El Reglamento no tiene un listado de medidas a aplicar sino que, en el marco de la responsabilidad proactiva del responsable, este tendrá que aplicar aquellas medidas que sean proporcionadas y adecuadas al riesgo asignado al tratamiento en cuestión. Y estas medidas tienen que tener en cuenta varios factores como son los costes de implementación, el estado de la técnica, al contexto, el alcance y las finalidades del tratamiento, entre otros.

En fin. Un abogado no puede perder los papeles. ¡Tú tampoco!

Cuidaos!

Por un Internet seguro

por

A finales de enero tuvo lugar el Día Internacional de la Protección de Datos con el objetivo de promover el conocimiento entre los ciudadanos sobre cuáles son sus derechos y responsabilidades en materia de protección de datos. Este día está impulsado por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los estados miembros de la Unión Europea.

Los Días Internacionales son un buen mecanismo para alertar y concienciar a los ciudadanos de temas importantes que nos afectan a todos. Conocemos días por temas sanitarios, cuestiones sobre los derechos humanos, el racismo, el feminismo y tantas otras causas nobles. Pues bien, la Protección de Datos tiene su día, 28 de enero, y el Internet Seguro, también: 9 de febrero. Del primero hablamos hace unos días (ver post) y del segundo hablaremos hoy.

El Día de Internet Seguro (“Safer Internet Day”) es un acontecimiento que tiene el apoyo de la Comisión Europea y que tiene como objetivo promover un uso seguro y positivo de las tecnologías digitales, en particular, entre niños y jóvenes. No tan solo se pretende la creación de un Internet más seguro, sino mejor, para convertirlo en un espacio donde todos hagamos un uso responsable, respetuoso, crítico y creativo de la tecnología. Y dirigido en especial a niños y jóvenes, un colectivo muy vulnerable y que resulta imprescindible formarlo como futuro pilar de la sociedad.

Referente en esta materia es INCIBE (Instituto Nacional de Ciberseguridad) y su portal is4k, INTERNET SEGURA FOR KIDS. Sus programas, ayudas y campañas son imprescindibles para que todos aprendamos a navegar más seguros en Internet. INCIBE trabaja para afianzar la confianza digital, elevar la Ciberseguridad y la resiliencia y contribuir al mercado digital de forma que se impulse el uso seguro de ciberespacio en España.

Coincidente con el Día de Internet Segura, Microsoft ha publicado su informe anual que titula “Índice de Civismo En línea” en el portal dedicado a promover el civismo digital. El titular más llamativo del estudio dice que España encabeza, a nivel mundial, los fraudes, las estafas y engaños en línea. Para ser nuestra primera inclusión en el estudio, los resultados no son muy esperanzadores y tienen bastante margen de mejora. Dice también el estudio que el civismo en Internet ha empeorado desde el comienzo de la pandemia y que un 34% asegura haber recibido contacto no deseado a Internet y un 26% afirma haber sido víctima de “sexting” (El sexting es una práctica que consiste en enviar mensajes con contenido erótico a través de dispositivos tecnológicos de manera voluntaria).

Conviene concienciarnos sobre los riesgos que comporta el mal uso de la tecnología. Todo lo beneficioso que resulta en tantos ámbitos, imprescindibles a estas alturas, se nos puede volver en contra por ignorancia o exceso de confianza. No dejemos que pase.

Cuidaos!

Nuevo Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria bajo el RGPD

por

A finales del año pasado, la AEPD aprobó el primer Código de Conducta bajo el RGPD. Este Código es el de Tratamiento de Datos en la Actividad Publicitaria. Probablemente eclipsado por otras novedades como la entrada en vigor del nuevo Código de Conducta sobre el Uso de Influencers en la Publicidad (que ya tratamos en este post: “Inflluencer”: aquí tienes tu Código), el sector no le ha prestado suficiente atención. Así que en las próximas líneas haremos un resumen de las novedades y repasaremos los puntos clave.

Digamos, de entrada, que el contenido principal del Código es el establecimiento de un sistema extrajudicial para tramitar reclamaciones sobre protección de datos y publicidad, ágil, eficaz y gratuito para los consumidores. La elaboración de los Código de Conducta está recogida en los artículos 40 y 41 del RGPD. El RGPD establece que las autoridades de control tienen que promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento, teniendo en cuenta las características específicas de los diferentes sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas .

En la primera parte, el Código revisa los principios de tratamiento de datos que la industria publicitaria tiene que cumplir, en especial hace referencia a las medidas de protección de datos desde el diseño y por defecto y el principio de minimización. También recuerda la obligación de informar a los interesados del tratamiento de sus datos con fines de marketing, que el consentimiento se tiene que dar separado e inequívocamente o que el interés legítimo exige una ponderación. También recuerda la necesidad de consulta previa a los sistemas de exclusión publicitaria si no hay consentimiento expreso.


Quizás uno de los aspectos más relevantes del Código es el nuevo sistema extrajudicial de resolución de reclamaciones de protección de datos y publicidad. El procedimiento que se establece permite que los usuarios que lo deseen presenten reclamaciones gratuitamente contra las empresas adheridas al Código cuando entiendan infringidos sus derechos de protección de datos en el marco de una actividad publicitaria, como por ejemplo; la recepción de publicidad no deseada, el ejercicio de derechos relacionados con la publicidad (como el de oposición), y el tratamiento de datos en promociones publicitarias o mediante cookies publicitarias, entre otras.

Y para las empresas, ofrece un mecanismo de resolución de reclamaciones especializado, ágil, de bajo coste y eficaz, alternativo a la intervención administrativa. Y se considera una medida de responsabilidad proactiva y puede ser una atenuante en caso de eventuales sanciones.

A este Código se pueden adherir cualquiera de las entidades de la industria publicitaria. Es una herramienta útil en materia de Compliance que ayudará a las empresas a mejorar su reputación ante el consumidor, aumentando su confianza. Y ayudará a los consumidores a mantener su privacidad bajo control.

Cuidaos!

28 de enero: Día Internacional de la Protección de Datos

por

A lo largo del año se conmemoran muchos días por diversas causas (el clima, los derechos de varios colectivos desfavorecidos y tantas otras causas nobles). Pues también hay una día para conmemorar la Protección de Datos (Privacy en los países anglosajones). Y este día es el 28 de enero.

Cómo en el resto de días, se trata de crear conciencia entre colectivos de forma que nos concienciamos todos de la importancia que la privacidad tiene en nuestras vidas. Y las implicaciones que puede suponer, cada vez más, que no prestemos atención. Y, para evitarlo, celebramos una vez al año el Día Internacional de la Protección de Datos.

Algunos hechos recientes ponen de manifiesto que las cosas están cambiando. Por ejemplo, la anulación del Privacy Shield por parte del Tribunal de Justicia Europeo o las nuevas directivas sobre cookies que conocimos este verano. Nos hacemos eco también de las recientes multas de la AEPD. Tanto las de importe muy elevado a BBVA y CaixaBank, como otras más modestas pero que castigan conductas muy habituales en el día a día. El caso que hemos vivido recientemente con la herramienta “RadarCovid” que el gobierno puso a disposición de la ciudadanía para luchar contra la pandemia sin publicar la evaluación de impacto. O la reciente decisión de Whatsapp de aplazar la entrada en vigor de las nuevas condiciones de uso de la aplicación.

Y esta última ha sido especialmente polémica, porque obliga al usuario a aceptarlas y, por lo tanto, a compartir datos con Facebook. De hecho ha generado una salida importante de usuarios hacia otras plataformas de mensajería como Telegram o Signal. Lo que pone de manifiesto esta “rebelión” es que los usuarios son cada día más conscientes de sus derechos y que no están dispuesto a dejarse avasallar por las grandes tecnológicas. De hecho, tampoco por los grandes bancos o grandes empresas, ni siquiera por modestos despachos de abogados como hemos visto más arriba. Por nadie.

Lejos quedan los días en que los usuarios leían las condiciones y aceptaban sin preguntar, empujados por la ilusión de usar la aplicación cuando antes. Era un tiempo en el cual se daban situaciones inverosímiles y absurdas con las condiciones. Ahora, al menos, hay gente que sí las lee y nos alerta al resto.

En el buen camino, se presentó recientemente el Pacto Digital por la Protección de las Personas, un gran pacto por la convivencia ciudadana en el ámbito digital, en el que se pone en valor la privacidad como un activo por las organizaciones públicas y privadas. Un gran paso adelante.

 

Feliz día. Cuidaos.

Imagen Pixabay

 

Multas AEPD: Sanción por 8 correos sin copia oculta

por

A principios de diciembre, la Agencia Española de Protección de Datos publicaba la resolución por la que se imponía a un despacho de abogados una sanción de 10.000 €. El motivo? Haber enviado un correo electrónico a ocho destinatarios, informando sobre el bloqueo de sus cuentas, sin utilizar la copia oculta.

EL RGPD establece en el artículo 5 los principios que deben regir el tratamiento de los datos personales y menciona entre ellos el de «integridad y confidencialidad». El artículo exige los datos «serán tratados de tal manera que se garantice una seguridad adecuada».

Asimismo, el artículo 32 del RGPD «Seguridad del tratamiento», establece una serie de medidas técnicas y organizativas que garantizan un nivel adecuado al riesgo que se ha definido. Entre ellas está la capacidad de garantizar la confidencialidad de los datos personales.

Entiende la Agencia que, de la documentación revisada, se desprendían indicios suficientes de que el despacho de abogados había vulnerado el artículo 32 RGPD porque se había producido una brecha de seguridad de sus sistemas. Por esta infracción, la AEPD considera que la sanción que correspondería sería de advertencia, instando al denunciado a que corrija los efectos de la infracción cometida y se adecue a las exigencias del artículo 32.

En cambio, por la infracción del artículo 5.1 f) del RGPD la sanción que corresponde es una multa por importe de 10.000 €. Y lo que es más importante, al ser una infracción del artículo 5 RGPD, la sanción podría llegar hasta los 20.000.000 € o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optando por la de mayor cuantía. Una barbaridad!

En efecto, un disparate de sanción pero que pone de manifiesto la importancia que la protección de datos está adquiriendo cada día más. Convendréis conmigo que 10.000 € de multa por 8 correos es una sanción muy importante.

Y no es una sanción a una gran empresa sino a un modesto despacho de abogados. Es lo que se conoce como «aviso a navegantes». La protección de datos requiere que todos hagamos un esfuerzo para entender sus objetivos finales y pongamos las medidas necesarias para cumplir. Las reglas del juego están para seguirlas y esto no es una excepción.

Cuidaos!

Multas AEPD: ¿no hay dos sin tres?

por

El titular encaja perfectamente con la situación que estamos viviendo. Antes de ayer otra multa récord de la AEPD. Esta vez le ha tocado a CaixaBank, por un importe de 6 millones de euros, superando los 5 de BBVA de hace unos días.

A la sanción del BBVA nos referimos la semana pasada. Y todo lo que dijimos entonces es perfectamente aplicable al caso presente. En CaixaBank, como hicieron con BBVA, le han impuesto dos sanciones; una leve, de 2 millones de euros y una de grave, por un importe de 4 millones de euros.

La sanción leve corresponde a la vulneración de los artículos 13 y 14 del RGPD y la grave por saltarse el artículo 6 del Reglamento. Recordemos que el artículo 13 hace referencia a la información que se tendrá que facilitar cuando los datos personales se obtengan del interesado. Y que el 6 habla de la Licitud del tratamiento. Según la AEPD, CaixaBank incumple los requisitos establecidos para la prestación de un consentimiento válido, en tanto que manifestación de voluntad específica, inequívoca e informada tal como pide el RGPD. Incluso se menciona una cesión ilícita de datos personales a empresas del Grupo CaixaBank.

También, como en el caso del BBVA, la AEPD conmina a CaixaBank a que, en el plazo de 6 meses, adecue a la normativa las operaciones de tratamiento que realiza, la información que ofrece a sus clientes y los procedimientos que usa para recoger el consentimiento.

Dicho esto, algunas consideraciones sobre la marcha. De aquella multa a Facebook de 1,2 millones de euros el 2017 hemos pasado a las actuales. Parece que hay un salto cuantitativo muy importante. Y parece que a la Agencia no le tiembla el pulso, que ha perdido el miedo. Todavía estamos lejos de las multas de decenas de millones que están poniendo en Europa, pero estamos en camino.

Y lo que me parece muy relevante es que la AEPD obligue expresamente a las empresas a enmendar los procedimientos para adecuarlos a la normativa. Esto pone de manifiesto la voluntad de que las cosas se hagan bien hechas. Y estoy seguro de que estas modificaciones no serán nada sencillas dada la medida de las entidades afectadas.

¿Habrá una tercera sanción en esta línea? ¿Podría ser otro banco?

La resolución, de 177 páginas, habrá que leerla con atención. Pero sin duda, esto es un claro aviso a navegantes. Tendremos que estar atentos.

AEPD: Sanción récord y récord de sanciones

por

Aunque parezca que hace mucho tiempo, fue poco antes de Navidad cuando la AEPD impuso la sanción más alta de su historia: 5 millones de euros de multa al BBVA por vulnerar 3 artículos del RGPD. Y a esto hay que añadir que España es líder de la Unión Europea en sanciones a PYMES por incumplimientos del RGPD.

En realidad han sido dos infracciones. La primera, calificada de muy grave, de 3 millones de euros por vulnerar el artículo 6 del Reglamento General de Protección de Datos (RGPD), en cuanto a la fórmula para obtener el consentimiento de los clientes. La segunda, de carácter leve, por los datos obtenidos del interesado que suponen una vulneración de los artículos 13 y 14 del citado Reglamento.

Al mismo tiempo, la resolución impone una serie de medidas que obliga al BBVA a cambiar, en un plazo máximo de seis meses, su sistema de gestión de protección de datos en relación al deber de información y la obtención del consentimiento.

Sin querer entrar en más detalle de la resolución (puedes leerla íntegra aquí), si quiero aprovechar para hacer varias consideraciones.

Para empezar, el hecho más llamativo que supone el elevado importe de las sanciones. Parece que la AEPD, en línea con otras autoridades de control europeas, ha decidido imponer sanciones muy elevadas. Alguien puede decir que para una entidad como el BBVA se trata de una cantidad irrisoria. Pero no debemos olvidar que las sanciones pueden llegar hasta 20.000.000 de euros o el 4% de la facturación anual consolidada del grupo. Y parece que se ha puesto en marcha un camino más estricto.

Por otro lado, el daño reputacional para la entidad puede ser muy elevado. El eco mediático que ha tenido la noticia no ha pasado, estoy seguro, desapercibido para la sociedad, en general, y para los grupos de interés del banco (clientes, accionistas, etc.), en particular.

Y todo comenzó con un SMS publicitario enviado a un cliente que estaba dado de alta en Lista Robinson desde hacía tiempo. Fíjate tú quién lo iba a decir.

Y para completar el panorama sancionador, adelantaros que España lidera la UE en sanciones a PYMES. El número aún es modesto pero el incremento de multas del 2019 al 2020 ha sido del 252%. Pero de esto hablaremos en un próximo post en el que aportaremos datos de un estudio propio.

Conviene, en cualquier caso, que las empresas extremen sus precauciones.

¡Cuidaos!

Textos web, ¿legales o ilegales?

por

Todo el mundo habla, y estos días más que nunca, de los textos legales de la web. Entre el alboroto de las cookies y la normativa aplicable al comercio online, imprescindible en estas fechas, hay, por un lado, una cierta confusión en saber los textos que se necesitan y, por el otro, diferentes prácticas extendidas en el sector que comportan serios riesgos. Y estos riesgos son para los empresarios que encargan la página web pero también para los diseñadores web, los cuales, a menudo vemos que la privacidad o las condiciones de compra no son una preocupación prioritaria porque no es su responsabilidad.

Los textos legales web están sujetos a normativas diferentes. Además de los relativos a la Protección de Datos derivados del Reglamento General de Protección de Datos (RGPD) y la LOPD (como la Política de Privacidad), de los cuales hemos hablado en diferentes ocasiones (A parte de los textos legales de la web, ¿Qué más tengo que hacer? o ¿Me puedo fiar de tu web? ), están los que son consecuencia de la LSSICE (como el Aviso legal o la Política de Cookies). Y naturalmente los que se refieren a las Condiciones de compra cuando el site dispone de un e-commerce (Ley de ordenación del Comercio minorista y RDL de la Ley General por la Defensa de los Consumidores y Usuarios). Y de esto último hablamos hoy.

Ahora vienen las Fiestas de Navidad en las que las compras online se disparan. Todas las compras están sujetas a unas condicionas de contratación específicas por cada caso que necesariamente tienen que estar expuestas en el site web, a disposición de los usuarios. En consecuencia, todas las compras, como compraventa que son, están sujetas en estos contratos vinculantes entre las partes. Y afectan a actuaciones que pueden tener consecuencias graves como no avisar al consumidor del derecha a desistimiento[1] que lo asiste para devolver el producto comprado en los 14 días siguientes a la compra y con qué condiciones se tienen que hacer las devoluciones. Y si el empresario no ha cumplido con su deber de información y documentación, este periodo será de un año y 14 días. No es ninguna broma.

Por lo tanto, el empresario tiene que asesorarse debidamente con profesionales que garanticen el cumplimiento de las obligaciones legales en el mundo de Internet del mismo modo que lo hacen en el mundo físico. Porque si el empresario no lo hace, el diseñador web tampoco (al fin y al cabo no es su responsabilidad) y, además, el usuario no se lee los textos legales, estamos ante una situación de inseguridad jurídica extrema que, tarde o temprano tendrá consecuencias para el tráfico web, en especial para el comercio electrónico.

Hagamos, entre todos los profesionales, que tener textos legales en nuestra web sea la normalidad. Y, como usuarios, no signemos contratos sin leer ni entender las consecuencias.

[1] Real Decreto Legislativo 1/2007, de 16 de noviembre, por el cual se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

Revisión Textos Legales Web