Las tres claves para cumplir con la LOPD en una tienda online
- by techlegal
Qué requisitos debe cumplir una web de comercio electrónico para cumplir con la LOPD?
No se trata solamente de tener el texto de una política de privacidad en nuestra web, o de registrar el fichero de nuestros clientes en la Agencia de Protección de Datos, todo eso es necesario pero cuando nos proponemos abrir una página web para vender nuestros productos o servicios en la red, debemos tener en cuenta que necesitaremos cumplir con una serie de obligaciones ya no solo en la página web sino en nuestra propia estructura como empresa o emprendedor. A continuación os damos las tres claves más importantes para cumplir con LOPD.
1. EL FICHERO
Es el comienzo de todo, la LOPD nos marca que no podemos empezar a recoger datos de carácter personal sin tener el fichero inscrito en la Agencia de Protección de Datos, pero ¿qué fichero tenemos que inscribir? ¿cómo se inscribe este fichero?
Si tienes una web con comercio electrónico es obvio que estás recogiendo datos de clientes, (nombre, apellidos, email, dirección de envío …etc), si además recoges otro tipo de datos como por ejemplo alumnos, contactos, usuarios registrados …etc, también tendremos que tenerlos en cuenta para inscribirlos como ficheros.
Ten en cuenta que deben inscribirse los ficheros en función de su por finalidad(Ej. Clientes, proveedores, usuarios …etc) y no siguiendo criterios tecnológicos. (Ej. BB.DD. Mysql, clientes.mdb, ….etc).
En la página web de la Agencia encontrarás el formulario nota que se necesita para inscribir el fichero. A propósito de este tema, mucha gente piensa que inscribir nuestros ficheros significa que tengo que darle una copia de los datos de nuestros clientes o empleados, a la Agencia de Protección de Datos e incluso que tendremos que enviar actualizaciones de los mismos. Esto no es así, la inscripción del fichero es una mera declaración en la que se le indica a la Agencia de Protección de Datos, los aspectos fundamentales de nuestros ficheros (Ej. Donde lo almacenamos, que datos recogemos, para que los utilizamos …etc)
Por supuesto, además del fichero relativo a los datos que recogemos a través de nuestra web, también tendremos que dar de alta todos aquellos ficheros que necesite nuestro negocio. Ej. Empleados, Proveedores …etc., debemos tener en cuenta que nuestra página web es solo una parte de nuestro negocio y por tanto, deberemos examinar todas las áreas de nuestra empresa o negocio para encontrar todos los ficheros que debemos registrar en la Agencia.
2. LA POLÍTICA DE PRIVACIDAD.
La LOPD nos obliga a que cada vez que recogemos datos de carácter personal, debemos informar a la persona que nos está proporcionando esos datos de una serie de aspectos básicos (que entidad está recogiendo los datos, para que finalidad, si esos datos van cederse a terceros, como se puede ejercer los derechos de acceso, rectificación, cancelación u oposición …etc). Este deber de información se traduce habitualmente en esas políticas de privacidad, que nos encontramos al pié de formularios en las páginas web. Sí, lo sé, son “infumables” y casi nadie las lee, pero son obligatorias por mandato de la LOPD, así que hay que tenerlas bien visibles en nuestras páginas.
¡OJO! estas políticas de privacidad no son patrimonio exclusivo de la web, estos textos deben estar presente en todos los formularios o medios de recogida de datos personales que tengamos en nuestros negocios (Ej, contratos con clientes, formularios para empleados, proveedores …etc).
3. LAS MEDIDAS DE SEGURIDAD
Son un pilar fundamental en el cumplimiento de la LOPD, las medidas técnicas y organizativas están detalladas en el R.D. 1720/2007 (Reglamento de desarrollo de la LOPD) y resultan aplicables tanto a ficheros en soporte informático como en soporte papel.
Las medidas de seguridad están estructuradas en torno a 3 niveles de seguridad, Básico, Medio y Alto. El nivel básico se aplica por defecto a todos los ficheros que no alcancen los niveles medio o alto. El nivel medio se aplica en una serie de supuestos entre los que destaca el relativo a aquellos ficheros que contengan un conjunto de datos personales que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Un claro ejemplo de este nivel suelen ser las redes sociales tipo “Facebook” donde se acumulan ingentes cantidades de datos personales de los que puede deducirse rasgos de la personalidad de sus usuarios.
Por último las medidas de nivel alto, se aplicarán entre otros a los ficheros en los que se incluyan datos personales relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
En resumen, si tenéis una tienda online el nivel de seguridad del fichero de vuestros clientes será en el 99% de los casos nivel básico, solo en aquellos casos en los que de la compra de un producto o servicio pueda inferirse información relativa a la ideología, religión, salud o vida sexual del comprador, se necesitará la aplicación de las medidas de nivel alto
En las próximas entradas iremos desgranando las medidas de seguridad que exige la normativa, pero lo más importante que debéis recordar de este punto es que estas medidas se aplican a todos los ficheros con datos personales que tengamos en nuestro negocio (Ej. Clientes, empleados, proveedores …etc) tanto en soporte informático como en soporte papel.
Saludos Techlegalianos 🖖