OBLIGACIONES LEGALES DE LOS SITIOS WEB ( 1 )

Tener un sitio web comporta toda una serie de obligaciones legales. Y la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) tiene gran incidencia en ellas (aunque sin olvidar tampoco la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD); Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias; Ley 29/2006, de 26 de julio, de garantías y uso racional de los medicamentos y productos sanitarios.; Ley 42/2010, de 30 de diciembre, de medidas sanitarias frente al tabaquismo y reguladora de la venta, el suministro, el consumo y la publicidad de los productos del tabaco; y Ley 13/2011, de 27 de mayo, de regulación del juego).

Así pues, no se trata de “diseño mi sitio web, lo cuelgo en la red y ya está”. Y mucho menos si en él llevamos a cabo comercio electrónico.

¿Te suena el haber visto en muchos sitios web su “Aviso legal”, su “Política de privacidad” su “Política de cookies”, sus “Condiciones de uso” y sus “Condiciones Generales de Contratación?.

¿Los tienes en tu sitio web?.

Como a nadie le amarga un dulce, y por lo que respecta a las obligaciones legales de los sitios web, hoy empezaremos hablando de las “cookies”.

A saber:

El apartado segundo del artículo 22 de la LSSI establece:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI las cookies utilizadas para alguna de las siguientes finalidades:

–          Permitir únicamente la comunicación entre el equipo del usuario y la red

–          Estrictamente prestar un servicio expresamente solicitado por el usuario

En este sentido el Grupo de Trabajo del Artículo 29 en su Dictamen 4/20123 ha interpretado que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:

Cookies de «entrada del usuario» (cookies de sesión y de entrada de usuario que suelen utilizarse para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón).

Cookies de autenticación o identificación de usuario (únicamente de sesión)

Cookies de seguridad del usuario (por ejemplo, las cookies utilizados para detectar intentos erróneos y reiterados de conexión a un sitio web.

Cookies de sesión de reproductor multimedia

Cookies de sesión para equilibrar la carga

Cookies de personalización de la interfaz de usuario

Cookies de complemento (plug-in) para intercambiar contenidos sociales

El artículo 22 de la LSSI se refiere a la instalación de cookies y tecnologías similares utilizadas tales como local shared objects o flash cookies, etc (*) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o una tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.

(*) Los LSO, o flash cookies, son un tipo de cookies que pueden almacenar mucha más información que las cookies tradicionales. Al ser independientes del navegador utilizado son más difíciles de localizar, visualizar o borrar y pueden utilizarse, por ejemplo, para regenerar cookies estándar.

Cookies, cookies, cookies… ¡ menudo atracón!

La Agencia Española de Protección de Datos (AEPD) ha editado su Guía sobre el uso de cookies, pionera en Europa.

Es muy importante informar -bien- sobre las cookies de tu sitio web.

Como siempre, si necesitas ampliar información, no dudes en contactar con nuestro equipo de profesionales.

(Fuente: sitio web AEPD)

2.420 millones de euros….

El “presunto” abuso de posición dominante tiene un precio para la Unión Europea: 2.420 millones de euros.

Ésta es la sanción que se le ha impuesto hoy a Google por la Comisión Europea por abuso de posición dominante en su servicio de comparación de compras on line Google Shopping, un servicio que permite a los consumidores buscar y comparar precios de todo tipo de tiendas.

Evidentemente, Google recurrirá. Veremos en qué acaba todo y cuándo acabará todo…

Informe Consejo Ministros 23/6/2017, sobre el Anteproyecto de Ley Orgánica de Protección de Datos Personales

Dentro del proceso estatal de modificación normativa que el Reglamento Europeo de Protección de Datos ha originado en los estados miembros, España ya está en camino de tener una nueva Ley Orgánica de Protección de Datos.

El 23 de junio de 2017 el Consejo de Ministros emitía un breve Informe sobre el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, en el que se destacan las novedades que la futura LOPD va a traer consigo en el tratamiento y protección de los datos personales de las personas físicas.

En ese Informe el Consejo ha remarcado que la nueva LOPD incide especialmente en:

  • El tratamiento de los datos de personas fallecidas, en atención a los requerimientos de los herederos.
  • Excluir el “consentimiento tácito” “(…) debiendo ser expreso y afirmativo…
  • En aras al Principio de calidad de los datos, se regula la presunción de exactitud y actualización de los datos, cuando éstos sean recogidos directamente del interesado.
  • La edad de un menor para otorgar consentimiento se establece en los 13 años, y no en los 14 años actuales, en un intento por adaptar el sistema actual a lo previsto en otros estados vecinos de la Unión, y como así lo recoge el Reglamento Europeo.
  • El criterio de transparencia que regirá en lo referente a “…los sistemas de información crediticia, la videovigilancia, las listas Robinson, la función estadística pública y las denuncias internas en el sector privado.
  • La regulación exhaustiva de los derechos reconocidos al titular de los datos de acceso, rectificación, cancelación, oposición, portabilidad y limitación del tratamiento.
  • Se amplía el marco de utilización del bloqueo de datos como herramienta que garantice la disponibilidad de los mismos para un tribunal, el Ministerio Fiscal u otras autoridades competentes (AEPD), ante la posible necesidad de acreditación para la exigencia de responsabilidades derivadas de su tratamiento, evitando su posterior manipulación, borrado o cualquier actuación destinada a encubrir un posible incumplimiento de lo previsto en la normativa de aplicación.

Todas las modificaciones contenidas en la nueva Ley Orgánica, desembocarán en la modificación de las normativas vinculadas que desarrollan la actual Ley Orgánica 15/1999 (concretamente el Real Decreto 1720/2007): se busca la coherencia de los extremos modificados con la implantación efectiva de los cambios en los tratamientos realizados.

Junto con las modificaciones previstas se suma el desarrollo, por parte de la Agencia Española de Protección de Datos, de las competencias directamente asignadas por el ordenamiento jurídico español, y las recogidas en el Reglamento Europeo, dando paso en los próximos meses a un nuevo escenario normativo para la Privacidad y la Seguridad de la Información, en general, y para la Protección de Datos de carácter personal, en particular.

CLÚSTER, con “C” de COLABORACIÓN, de COOPERACIÓN…

COLABORAR PARA COMPETIR

Un clúster es un grupo de empresas ínter relacionadas que trabajan en un mismo sector industrial y que colaboran estratégicamente para obtener beneficios comunes.

Aunque la definición más extendida y conocida es la de Michael Porter, quien los definió como:

– “…una agrupación de empresas e instituciones relacionadas entre sí, pertenecientes a un mismo sector o segmento de mercado, que se encuentran próximas geográficamente y que colaboran para ser más competitivos¨.

Por tanto, los clúster son una HERRAMIENTA de COMPETITIVIDAD basada en la cooperación de sus miembros, que se han revelado como un potente instrumento de modernización e internacionalización empresarial.

En estado algo embrionario todavía en la UE, están ganando impulso y forman parte ya de la realidad económica europea. El Observatorio Europeo de Clúster ha identificado alrededor de 2.000 estadísticamente significativos en 70 regiones europeas, definidos como aglomeraciones regionales de industrias y servicios afines.

¿ PUBLICAS CONTENIDOS AUDIOVISUALES EN TU PÁGINA WEB ?

Podrías ser considerado un servicio de comunicación audiovisual.

El crecimiento y desarrollo de los servicios prestados por los portales y páginas web por los operadores de la sociedad de la información, ha propiciado que muchos de estos portales y servicios pongan a disposición del público contenidos audiovisuales y/o emisiones o programas de televisión a través de los mismos. En estos casos, además de la normativa en materia de servicios de la sociedad de la información, estos portales web deberán cumplir con la normativa relativa a los servicios de comunicación audiovisual.

En la UE, el marco normativo es desarrollado por la Directiva 2010/13/UE, incorporado al derecho español por la Ley 7/2010, de 31 de marzo, General de la Comunicación Audiovisual, y desarrollada por el Real Decreto 847/2015 de 28 de Septiembre, por el que se regula el Registro Estatal de Prestadores de Servicios de Comunicación Audiovisual y el procedimiento de comunicación previa al inicio de la actividad.

A este respecto cabe destacar la sentencia del Tribunal de Justicia C‑347/14, en la que se interpreta el concepto de servicio de comunicación audiovisual, estableciendo en qué medida la inclusión de contenidos audiovisuales en portales web determinará que el titular de la web sea considerado prestador de servicios de comunicación audiovisual.

Según la Directiva, el concepto de servicio de comunicación audiovisual se entenderá como el servicio cuya responsabilidad editorial corresponde al prestador del servicio de comunicación y cuya finalidad es proporcionar programas, con objeto de informar, entretener o educar al público en general a través de redes de comunicaciones electrónicas, se excluyen las páginas web privadas y los servicios consistentes en la prestación de servicios o distribución de contenido audiovisual generado por usuarios privados con el fin de compartirlo entre grupos de interés (el caso de Youtube).

Así pues, habrá de tener en cuenta la finalidad principal del portal web (o subdominio) en el que se publiquen los vídeos, y si el contenido audiovisual facilitado en el mismo constituye un programa. En cualquier caso, se consideran programas de televisión los largometrajes, las manifestaciones deportivas, las series, los documentales, los programas infantiles y las obras de teatro originales, así como las retransmisiones en directo de acontecimientos culturales o de cualquier tipo.

En resumidas cuentas, para ser considerado un servicio de comunicación audiovisual según lo dispuesto en la Directiva:

  • El prestador de servicios tendrá responsabilidad editorial de los contenidos audiovisuales.
  • Que el objeto principal sea el audiovisual. No serán considerados servicios de comunicación audiovisual aquellos portales webs que tengan el audiovisual como finalidad auxiliar o complementaria.
  • Estar destinado al público en general.
  • Ser difundido mediante redes de comunicaciones electrónicas.

Los efectos de que tu portal web se considere un servicio de comunicación audiovisual son la aplicación de la respectiva normativa en la materia, que incluye ciertas obligaciones entre las que se incluyen:

  • facilitar determinada información a los receptores del servicio,
  • prohibición de incluir contenidos que inciten al odio por razón de raza, sexo, religión o nacionalidad,
  • requisitos específicos que deberán cumplir las comunicaciones comerciales,
  • el régimen de los servicios o programas patrocinados,
  • la prohibición de emplazamiento de productos,

y en el caso de España

  • la inscripción del prestador del servicio en el Registro Estatal de Prestadores de Servicios de Comunicación Audiovisual
  • y el procedimiento de comunicación previa de inicio de actividad, entre otras.

“PUNITIVE DAMAGES” y EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Por “Punitive damages” (daño punitivo) se entiende el mecanismo por el cual se condena a pagar una indemnización, que busca reparar la violación a los derechos constitucionales de los ciudadanos, ocasionados ya sea por funcionarios del gobierno o por particulares. Son las cantidades de dinero que los tribunales exigen pagar con el fin, no como una indemnización compensatoria, sino como una sanción con fines ejemplarizantes.

Algo muy generalizado en el “common law” (el derecho común anglosajón) parece que ha inspirado el régimen sancionador del nuevo Reglamento europeo de protección de datos, que será de plena aplicación el 25 de mayo de 2018. Infracciones actualmente sancionadas con 300.000 euros como tope, puedan pasar a ser multas administrativas (art. 83.4) de “10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. Y estamos hablando, por ejemplo (art. 28.3) del hecho de no tener suscrito contrato de  encargado del tratamiento con un prestador de servicios que conlleve la comunicación de datos a éste.

Es uno de los casos en donde se aprecia que, con el nuevo Reglamento europeo, la misma infracción actual podrá llegar a ser sancionada de modo mucho más gravoso para las empresas.

El 25 de mayo de 2018 ya está a menos de un año vista…

PRIVACY BY DESIGN – PRIVACIDAD EN EL DISEÑO. Hacer, para no tener que rehacer

Si quieres montar una empresa está claro que no vas a obviar la inscripción de ésta en el Registro correspondiente, ni el formalizar con tus trabajadores el pertinente contrato, ni obtener el permiso de obras (si fuera necesario), ni el instaurar la política de prevención de riesgos laborales. Todos estos aspectos, y otros más, se han de tener ya en cuenta desde ANTES del inicio de la actividad, desde su mismo proceso de construcción.

La normativa de protección de datos no es, ni debe ser nunca, una excepción.

Al igual que decíamos que contemplamos todos esos aspectos desde el pre-inicio de la actividad, desde el momento en que la diseñamos, así debemos actuar con la normativa de protección de datos. Es lo que llamaremos “el principio de privacidad en el diseño”, que nos permitirá no tener que rehacer nuestros sistemas, nuestros procesos, nuestro diseño de un proyecto tecnológico ya en marcha, una app, un sitio web de comercio electrónico, un nuevo sistema operativo o nuestra web corporativa una vez ya estén en el mercado (con el ahorro de costes que ello representa).

No debemos actuar con los aspectos de privacidad como algo que “tengamos que incorporar cuando podamos” una vez ya estemos en marcha; se trata de trabajar los aspectos de la privacidad desde el propio diseño del proyecto. Más que adaptarse a la normativa, que ésta forme parte de nuestro concepto de empresa, de nuestro proyecto….

Hay que preguntarse siempre en todo proceso de creación:

¿qué implicación, a nivel de normativa de protección de datos, tendrá esto que estoy creando?.

Porque puede ocurrir que imprimas unos cientos de miles de folletos promocionales, para dinamizar tu creación desde su misma salida al mercado… y ya con ellos en el almacén alguien te haga ver que no hay ningún tipo de aviso legal, ni se solicita ningún tipo de autorización para poder utilizar posteriormente los datos que se recogen con fines promocionales, ni si se cederán estos datos a terceros…

Privacidad en el diseño – Privacy by design  

Hacer, para no tener que rehacer (con el riesgo, y costes, que representa)