Categorías
LOPD

Lo que debes saber de los avisos legales en las paginas web

A la hora de crear una página web, debes tener en cuenta la normativa vigente, sobre todo en los casos de páginas web corporativas o de páginas web que ofrecen sus productos y servicios online.

Algunas de las normas aplicables son:

  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE).
  • Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo.
  • Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General de Defensa de los Consumidores y Usuarios y otras leyes complementarias.
  • Ley 7/1996, de 15 de enero, de Ordenación del comercio minorista.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
  • Ley 17/2001, de 7 de diciembre, de Marcas.

A continuación, te indicamos algunas sugerencias a tener en cuenta sobre los aspectos legales de tu página web.

Avisos legales en tu pagina web

Cualquier empresa que tenga presencia en Internet, tanto si ofrece sus productos o servicios online como si simplemente ofrece información sobre los mismos a través de su web, debe mostrar en su página web una serie de información, conforme a lo establecido en la LSSICE y en el resto de la normativa vigente.

Para ello, suele dedicarse una sección de la web a lo que se conoce como Avisos legales, donde se muestre la siguiente información:

  • Nombre o denominación social.
  • Domicilio social.
  • Número de Identificación Fiscal de la empresa.
  • Datos de inscripción en el Registro Mercantil en el que, en su caso, esté inscrita.
  • Si la actividad a la que se dedica tu empresa estuviese sujeta a un régimen de autorización administrativa, los datos correspondientes a dicha autorización, así como las que identifiquen al órgano competente.
  • Medios de contacto: número de teléfono y/o fax, dirección de e-mail.
  • En el caso de que ejerzas una profesión regulada (abogado, arquitecto, psicólogo, etc), será necesario indicar:
    • Datos del Colegio profesional en el que estés inscrito y número de colegiado.
    • Título académico o profesional con el que cuentes.
    • El Estado de la Unión Europea o el Espacio Económico Europeo donde fue expedido dicho título y, en su caso, la correspondiente homologación o reconocimiento.
    • Las normas profesionales que sean aplicables al ejercicio de la profesión y los medios a través de los que se puedan conocer.
  • Si haces referencia a precios, deberás facilitar información clara y exacta sobre los precios de los productos y servicios, indicando de forma expresa:
    • Si los precios incluyen o no los impuestos que sean aplicables (como el IVA).
    • En su caso, si se incluyen o no gastos de envío y el importe de los mismos.
    • Aquello que dispongan las normas de las Comunidades Autónomas con competencias en la materia.
  • En el caso de que tu empresa esté adherida a algún código de conducta, deberás indicar a cuál y cómo consultarlo electrónicamente.
  • En el caso de que utilices un rango de tarificación adicional asociado a un medio de comunicación a distancia, indicar el coste de utilización
  • Actividad a la que se dedica la empresa.
  • Política de protección de datos, donde en el caso de recoger datos de usuarios, informes a los afectados acerca de los términos establecidos en la LOPD (finalidad para la que se recogen sus datos, fichero en el que se almacenan, medios a través de los cuales pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición, etc.
  • Política de uso de la web: donde informes de las restricciones de utilización de los productos o servicios ofrecidos bajo tu web, de las responsabilidades por la utilización de la misma, de los derechos de propiedad intelectual e industrial de su contenido, etc.
  • Las condiciones aplicables a los productos o servicios ofrecidos a través de la web de tu empresa, en las que indiques las características principales de los mismos, precios aplicables, forma de pago, obligaciones y responsabilidades de las partes…

El texto que contenga las condiciones aplicables a los productos o servicios ofrecidos a través de tu página web debe incluir:

  • Los datos de identificación de tu empresa (nombre o denominación social, domicilio social, número de identificación fiscal, etc).
  • Objeto del contrato o de las condiciones generales, donde se defina qué tipo de producto o servicio regulan y aparezca una breve descripción del mismo.
  • Precio del producto o servicio (haciendo referencia a si el IVA o cualquier otro impuesto aplicable está incluido o no en dicho precio) y las formas de pago que tu empresa admite.
  • Entrada en vigor y duración.
  • Obligaciones y responsabilidades de las partes, como la obligación de tu empresa de ofrecer el producto o servicio en las condiciones pactadas, o la obligación del cliente de realizar el pago del mismo en la forma prevista, etc.
  • Terminación del contrato o de las condiciones generales.
  • Cláusula sobre protección de datos de carácter personal.
  • Información sobre propiedad intelectual e industrial.
  • Legislación aplicable.

Propiedad intelectual

A la hora de añadir en tu página web contenido como fotografías, dibujos, vídeos, música o cualquier otro material susceptible de derechos de propiedad intelectual, deberás tener en cuenta que dichos derechos pertenecen a su autor o a un tercero que los ostenta, por lo que deberás disponer de la autorización previa y suficiente de éste (por ejemplo: solicitando el consentimiento expreso del autor, comprando fotografías a través de un banco de imágenes, etc).

Lo mismo ocurre en el caso de los logotipos o marcas de terceros, si quieres utilizarlos en tu página web necesitarás disponer de autorización previa y expresa de su legítimo titular.

La Protección de Datos de Carácter Personal

En los casos en los que a través de tu página web recojas datos de carácter personal de usuarios, deberás tener en cuenta lo establecido en la LOPD y su normativa de desarrollo.

Algunas de estas obligaciones son las siguientes:

  • Antes de recoger datos de carácter personal es necesario que informes a los usuarios de la existencia de un fichero de datos personales, de la finalidad de dicho fichero y de la recogida de datos, así como de quiénes son los destinatarios de la información.
    Por ejemplo: si creas un fichero llamado “USUARIOS” donde se almacenen datos de tus clientes como nombre y apellidos, sexo, edad, documento nacional de identidad, e-mail de contacto, etc., tendrás que informar a los usuarios de la existencia del mismo de forma previa a la recogida de los datos, indicándoles la finalidad para la que recoges dichos datos y quiénes van a recibirlos.
  • Antes de crear un fichero donde almacenes información de carácter personal, tendrás que notificar a la Agencia Española de Protección de Datos la creación del mismo, procediendo a su registro. La notificación es gratuita y podrás realizarla online.
    Puedes consultar la web de la Agencia Española de Protección de Datos para más información: www.agpd.es.
  • Tras inscribir un fichero, deberás mantener actualizada en todo momento su inscripción, notificando a la Agencia Española de Protección de Datos cualquier modificación del mismo o su supresión.
  • En el momento en que crees un fichero donde se almacenen los datos de carácter personal que recojas de los usuarios, te convertirás en el responsable del fichero, debiendo tratar dichos datos conforme a lo establecido en la LOPD.
  • Uno de los requisitos para la recogida de datos de carácter personal, es el consentimiento inequívoco del afectado, una vez haya sido informado del fichero donde se almacenarán sus datos y de la finalidad para la que se recogen.
  • Los datos deben ser recogidos y tratados para una finalidad en concreto, de la que previamente debe ser informado el afectado, no estando permitida la recogida de datos que no sean pertinentes o que sean excesivos y no pudiendo ser utilizados con una finalidad distinta de aquélla para la que fueron recogidos.
  • Deberás tener en cuenta el deber de secreto de los datos. El responsable del fichero y todos aquellos que intervengan en el tratamiento de los datos deberán guardar secreto profesional en relación a los mismos. Esta obligación se mantiene de forma indefinida, incluso una vez finalizada la relación con el titular o responsable del fichero.
  • En aquellos casos en los que un tercero vaya a tener acceso al fichero donde guardas los datos de carácter personal de los afectados, deberás formalizar con él un contrato de tratamiento de datos.
  • Puede ser el caso, por ejemplo, de una empresa informática a la que contratamos para que realice tareas de mantenimiento de nuestro sistema. Dicha empresa tendrá acceso al fichero y por ello será necesario suscribir con la misma un contrato de tratamiento de datos.
  • El contenido que debe incluir dicho contrato de tratamiento aparece especificado en la LOPD y en su Reglamento, consistiendo básicamente en trasladar la obligación de tratar los datos conforme a las instrucciones del responsable del tratamiento, de no utilizarlos con un fin distinto al que se estipule en el propio contrato, etc.
  • Tendrás que atender las solicitudes que los titulares de datos de carácter personal te realicen en relación a los derechos denominados “ARCO”: derechos de acceso, rectificación, cancelación y oposición.
  • El derecho de acceso consiste en que el titular de los datos puede contactar con quien los ha recogido con el fin de que se le informe sobre cuáles de sus datos de carácter personal tiene en su poder.
  • El derecho de rectificación consiste en que el titular de los datos puede solicitar a quien los ha recogido, que los modifique por ser estos incompletos, incorrectos, falsos o no encontrarse actualizados.
  • A través del derecho de cancelación, el titular de los datos puede solicitar que se supriman aquellos de sus datos que hayan sido recogidos y que se consideren inadecuados o excesivos.
  • Mediante el derecho de oposición, el titular de los datos puede solicitar que no se realice el tratamiento de sus datos o que se cese en el mismo, mediando causa justificada.
  • En el caso de que el titular de unos datos de carácter personal que hayas recogido te haga llegar cualquiera de estas solicitudes, deberás atenderla en el plazo máximo de diez días desde la recepción de la solicitud.
  • Deberás adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal, con el fin de evitar su alteración, pérdida o tratamiento no autorizado.

Envío de información comercial a usuarios de la web

La legislación vigente prohíbe enviar comunicaciones publicitarias o promocionales a través de correo electrónico o de medio de comunicación electrónica equivalente a aquellos usuarios que previamente no hubieran solicitado recibir comunicaciones de dicho tipo o que no las hubieran autorizado de forma expresa.Para enviar este tipo de comunicaciones a cualquiera de tus clientes, de los usuarios registrados en tu web, etc. deberás haber obtenido para ello su consentimiento previo.

Además, deberás tener en cuenta que los usuarios pueden revocar en cualquier momento su consentimiento, bastando simplemente con notificártelo.
Cualquier comunicación con información comercial o promocional que envíes a tus clientes deberá ir identificada como tal (por ejemplo, añadiendo el texto “Información comercial”).

Categorías
LOPD

Niveles de seguridad segun la LOPD

Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en tres niveles: BÁSICO, MEDIO y ALTO.

APLICACION DE NIVELES

A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las medidas de seguridad relativas a cada uno de los niveles que determina el RLOPD.

NIVEL ALTO
Ficheros o tratamientos con datos: de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico recabados con fines policiales sin consentimiento de las personas afectadas y derivados de actos de violencia de género.

NIVEL MEDIO
Ficheros o tratamientos con datos: relativos a la comisión de infracciones administrativas o penales; que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito) de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.

NIVEL BÁSICO
Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero y en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple.

Categorías
LOPD

Protección de datos de los niños, en los centros educativos y sanitarios, cuando los padres están separados

Es habitual que los centros docentes y los centros asistenciales en los supuestos de hijos de padres separados muestren su reticencia a prestar información de los niños al progenitor no custodio. Esta reacción se produce como medio de protección frente al menor, en materia civil, e incluso penal, como medio de prevención frente a posibles sanciones de la Agencia de Protección de Datos, o por otras cuestiones de diversa índole.

¿Pero es esta actitud conforme a derecho?

En primer lugar debo decir que la interpretación de la ley no es pacífica pudiendo realizarse diversas soluciones según quien la interprete.

Aunque no existe una definición al respecto podemos realizar una aproximación al concepto de patria potestad si conocemos qué derechos y obligaciones conlleva para los padres y los hijos.

La patria potestad viene regulada en los artículos 154 y ss. del Código Civil y comprende los siguientes deberes y facultades:

Velar por ellos, tenerlos en su compañía, alimentarlos, educarlos y procurarles una formación integral. Representarlos y administrar sus bienes”.

Por contra y como obligación de los hijos, éstos deben “obedecer a sus padres mientras permanezcan bajo su potestad y respetarles siempre”.

En cuanto al ejercicio de la patria potestad el Código Civil indica que “La patria potestad se ejercerá conjuntamente por ambos progenitores o por uno solo con el consentimiento expreso o tácito del otro. Serán válidos los actos que realice uno de ellos conforme al uso social y a las circunstancias, o en situaciones de urgente necesidad.

De todo ello se desprende que para poder ejercitar el derecho a la patria potestad, incluso para exigir las obligaciones inherentes a ésta, tanto por padres como por hijos, en circunstancias normales la información exigible debería ser facilitada a ambos progenitores. Así por ejemplo para velar por la correcta educación, con exhibición de las notas, controlar las amistades, alimentación en casos de comedor escolar, incluso salud y hábitos de consumo.

Mas adelante aclararé en qué concepto se comunica esta información.

Pero esté derecho se ve matizado cuando el mismo Código, en el artículo 156, indica que “Si los padres viven separados la patria potestad se ejercerá por aquel con quien el hijo conviva”. Esta afirmación podría implicar que cualquier información relevante sobre el menor debería ser comunicada únicamente al padre custodio cumpliendo así con las exigencias legales. Sin embargo esta obligación  no resulta taxativa, pudiendo el progenitor con el que no conviva el menor solicitar al Juez, siempre en beneficio del menor, la atribución al solicitante de la patria potestad para que la ejerza conjuntamente con el otro progenitor, o distribuir entre el padre y la madre las funciones inherentes a su ejercicio.

Será por tanto en el procedimiento de separación o divorcio el momento adecuado para la solicitud de este derecho. Es habitual que en estas demandas se indique que la patria potestad será compartida, no especificándose nada más al respecto, atribuyendo la custodia del menor a uno u otro progenitor.

La Agencia Española de Protección de Datos, a través de su gabinete jurídico, en diversos informes jurídicos, y en concreto en el Informe 227/2006 realiza una interpretación de la cuestión, indicando que “en lo que se refiere a los datos que guarden relación con las funciones de educación y formación establecidas en el citado artículo 154 del Código Civil, existe una norma con rango de Ley que habilita la cesión o comunicación de datos de carácter personal, por lo que la cesión de los datos académicos o psicopedagógicos que guarden directa relación con esos deberes formativos se encontraría amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999 en relación con el artículo 154 del Código Civil”.  A esta afirmación añade que “en tanto no exista una resolución judicial que excluya del ejercicio de la patria potestad a uno de los progenitores… el progenitor seguiría encontrándose habilitado para que le fuesen cedidos los datos”.

En este mismo sentido, y para datos del menor en centros sanitarios, se ha pronunciado la Agencia Madrileña de Protección de datos en informe de fecha 10 de diciembre de 2.005 al indicar que:

En casos de padres separados es la resolución judicial que determina la separación la que establece lo relativo a la patria potestad y a la guardia y custodia de los hijos, siendo normalmente compartida la primera, y asignada la segunda a uno de los progenitores. La presentación del documento judicial que haga mención a la patria potestad y asignación de guarda y custodia deberá ser suficiente para acceder a la información asistencial de los menores.

El ejercicio de la patria potestad es determinante para ostentar el ejercicio de la representación legal de los menores y por tanto, para acceder a todos los datos relativos a su salud.

Desde el punto de vista de la legislación de protección de datos, NO existe motivo alguno que impida la solicitud de información por parte de uno de los padres respecto a la información asistencial de su hijo, siempre que ambos ostenten la patria potestad, condición que podrá acreditarse, insistimos, con la presentación del documento judicial que recoja lo relativo a la patria potestad de los progenitores (sentencia, o auto que aprueben el convenio regulador). Éstos tienen el derecho de acceso a los datos de sus hijos menores en caso de ostentar ambos la patria potestad, en cuanto se erigen en sus representantes legales.

En caso de que uno de los progenitores esté privado judicialmente de la patria potestad del hijo menor, debe ser acreditado también por el referido documento judicial, ya que en este caso la privación de la patria potestad implica su pérdida de la condición de representante legal, no teniendo por tanto acceso a los datos personales del menor sin el consentimiento del otro progenitor

Como conclusión debemos indicar que con la puesta a disposición del personal correspondiente del documento acreditativo de la ostentación de la patria potestad debería ser suficiente para poder solicitar información sobre el menor con las garantías suficientes.

Por otro lado debemos diferenciar si la comunicación de estos datos a los padres resulta ser una cesión de datos, en cuyo caso debería exigirse el cumplimiento de lo dispuesto en el artículo 11.2, y 7.3 para los supuestos de datos relativos a la salud, ambos artículos de la Ley Orgánica 15/1999, o se trata de un derecho del menor ejercido a través de representación. Para ello debemos atender a lo dispuesto en el artículo 13 del Reglamento de desarrollo de la LOPD, “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores”. Siendo esto así el padre del menor de 14 años actuaría en representación de éste, y lo que se realizaría sería un Derecho de acceso por parte del menor, a través de su representante, y no una cesión de datos.

Esta tesis viene apoyada por el artículo 162.1 del Código Civil que exceptúa de la representación legal del titular de la patria potestad a “los actos referidos a derechos de la personalidad u otros que el hijo, de acuerdo con las leyes y con sus condiciones de madurez, pueda realizar por sí mismo”.  También viene apoyada por la AEPD en su informe de 8 de abril de 2004, en el que se indica que “en consecuencia, a tenor de las normas referidas, cabe considerar que los mayores de catorce años disponen de las condiciones de madurez precisas para consentir, por sí mismos, el tratamiento automatizado de sus datos de carácter personal.

Respecto de los restantes menores de edad, no puede ofrecerse una solución claramente favorable a la posibilidad de que por los mismos pueda prestarse el consentimiento al tratamiento, por lo que la referencia deberá buscarse en el artículo 162 1º del Código Civil, tomando en cuenta, fundamentalmente, sus condiciones de madurez.”

Y por tanto y como conclusión deberíamos indicar que un mayor de 14 tendría la madurez suficiente para consentir el tratamiento de sus datos, y para los menores de esta edad se deberá tener en cuenta, y de forma individualizada, las condiciones de madurez del mismo, que deberán ser acreditadas.

 

Áudea Seguridad de la Información
Aurelio J. Martínez Ferre
Consultor legal Audea Seguridad de la Información