10. Aspectos jurídicos. Protección de datos


1) Antes de empezar

Este es el último modulo del curso, pero no porque importe menos, sino para que lo tengas presente antes de emprender tu proyecto. En los otros módulos has trabajado sobre las claves del negocio virtual: personalizar al máximo la relación con cada cliente; averiguarlo todo sobre él o ella a partir de cualquier fuente, incluida su conducta de navegación (ficheros .log), y sin desperdiciar nada (recuerda la demo de CRM). Te han hablado de cookies y bugs, del e-marketing y del spam, del rastro que se deja al navegar y cómo se aprovecha para que un programa decida qué interesa más a cada usuario… Podríamos resumirlo así: acumula y analiza toda la información que puedas obtener sobre tus clientes: de lo que saques de ahí depende el éxito”. Es verdad, pero… alguien ha dejado caer dos ideas que no puedes pasar por alto: una es “ojo con la protección de datos” y la otra “atiende bien las solicitudes del cliente” (comprará más si haces caso a lo que quiere, como has visto al tratar el permission marketing). Este módulo desarrolla ambas ideas. Y antes de empezar te adelanto ya lo más importante:

  1. legalmente, esa información personal es de tus clientes, no de tu empresa, así que todo lo que hagas con ella tiene que ser con su permiso (te guste más o menos);
  2. si lo haces así, tendrás una ventaja competitiva frente a otros negocios y te irá mucho mejor, por dos razones: tus clientes actuales estarán más contentos (los potenciales confiarán más en ti) y la información que manejes será mejor y más fiable;
  3. para cumplir la ley de protección de datos (LOPD) hay que “cambiar el chip” y pensar diferente en algunas cuestiones, pero no es tan difícil como parece (ya se sabe que las “cosas jurídicas” siempre asustan, pero, si entiendes lo que hay detrás, verás que no es para tanto).

Y un aviso: sólo trabajaremos con los puntos centrales de la LOPD, pero hay más aspectos de protección de datos que habrás de tener en cuenta (p.ej., en materia de seguridad) y deberes que otras leyes (p.ej., la LSSI) imponen a los negocios virtuales. Vamos allá.


2) De qué va esto y por qué hay que tomarlo en serio

El derecho a la protección de datos personales es un derecho fundamental que tenemos todos a decidir qué, cuándo, cómo, para qué y a quién damos información sobre nosotros y a controlar lo que se hace con ella. Si no existiese este derecho, la vida en la sociedad actual sería penosa. Hay mucha filosofía política en esta frase (y también en estos tres minutos de dibujos), pero no tenemos tiempo (en casa, otro día, puedes echar un vistazo a este vídeo o a este otro). Ahora no pienses como ciudadano sino como empresario, que está obligado por ley a respetar este derecho. Y eso es bueno: la protección de datos no está para hacerte la puñeta ni frenar tu negocio: mírala como algo que te va a beneficiar.
 

Idea para reflexionarLa estrategia anti-Google de Zuckenberg


Lee esto (o esto). ¿Por qué Facebook y Google se acusan mutuamente de violar la privacidad de sus usuarios? Ninguno puede dar lecciones de protección de datos, pero los dos saben que, si logran asociar su nombre a “más privacidad” y el nombre del rival a “menos”, lo habrán hundido. En medio de esta guerra, Google acaba de retocar su política de privacidad: “privacidad” suena bien y a la gente le importa. De lo contrario, no se podría ganar dinero así ni habría empresas como esta: la privacidad es un negocio en sí mismo. Y eso es lo que hace de la protección de datos una ventaja competitiva y una parte cada vez más estratégica de los negocios (virtuales).

Aún hay otro motivo para que tomar la protección de datos en serio: si no lo haces, corres el riesgo de que te impongan una sanción que arruine tu empresa. Las grandes corporaciones tienen un presupuesto (enorme) para eso, pero las pymes y los autónomos no. 

Megamultas


A esta empresa (ahora con otro nombre) le cayó una millonada de multa por infracciones muy gordas de la ley. Tú no harás nunca cosas así, pero quizá instales una aplicación en tu intranet que, por error, permita a un empleado acceder a datos de otro (60.000 €); o envíes trece SMS a un cliente que no te lo ha pedido (40.000 €: sale cada SMS a 3.077 €); o alguien de tu empresa consulte por mera curiosidad la solvencia de una conocida en un fichero de morosos (40.000 €); o le envíes el CV de un candidato a otra empresa creyendo que haces un favor a ambos (60.000 €); o tras hacer una segmentación le pases a una compañía filial los datos de un cliente para que le ofrezca ventajas (80.000 €); o remitas cuatro faxes a casa de un potencial cliente (30.000 €). Mucha gente protesta por las multas, y algo de razón tienen, pero eso nos llevaría a otro debate.

 Como todo lo bueno de la vida, la protección de datos cuesta algún esfuerzo: puedes verlo como una inversión o como un lastre, eso ya es cosa tuya, pero si no haces ese esfuerzo tu proyecto puede irse a pique.


3) ¿Dónde está el secreto? “Cambiar el chip” y ser prudente

Un día, un amigo que hace negocios en Internet me dijo: “voy a subir algunas cosas de la empresa a la nube”. La nube tenía sede en EE.UU. “¿Has pensado en los temas legales?”, pegunté. “Eh…” Mi amigo estaba a punto de hacer sin la correspondiente autorización una “transferencia internacional de datos personales a un país sin nivel adecuado de protección” (aquí tienes ejemplos de autorizaciones para exportar datos personales). Usar la nube tenía ventajas de gestión, pero suponía sacar datos personales a un lugar (EEUU) donde no se protegen como aquí, y eso podía traer complicaciones. Al final, elegimos una nube con sede Europa (también vimos otras en EE.UU. que podríamos haber usado porque se consideran “puerto seguro”: en español aquí) y mi amigo pudo hacer lo que quería sin riesgos legales.

El derecho no te impide hacer lo que conviene a tu negocio, sólo te exige hacerlo bien. Por eso es crucial “cambiar el chip”. Al montar una empresa solemos pensar en flujos y procesos de negocio y ver el total de información (o conocimiento) que almacenamos y analizamos como un bloque. Pero de ese bloque tienes que “separar” los datos personales. ¿Dónde están? ¿Qué hago con ellos? ¿Qué dije a los clientes que haría? ¿Para qué los tengo y para qué los uso realmente? ¿Cómo los estoy protegiendo de pérdidas o accesos no autorizados? ¿Tiene alguna justificación que los conserve? Para responder, claro, has de saber qué es, legalmente, un dato personal. Pues es cualquier cosa que te diga o pueda decir algo sobre una persona física: su foto o su imagen, su fecha de nacimiento, sus compras, sus gustos, su email, su número de teléfono, la duración de sus visitas a tu web, la marca de su reloj, sus notas del instituto, el número IP de su ordenador... Y no sólo eso, también las segmentaciones y perfiles que tú realices a partir de toda esa información.

Tener en tu sistema datos que puedan vincularse a personas (clientes, trabajadores) significa estar sujeto a la LOPD (salvo que sean sólo datos de personas de contacto en otras empresas, por ejemplo tus proveedoras; o salvo que hagas imposible “vincularlos” a una persona y los anonimices, ya que entonces no se consideran “personales”). Así que, al pensar en procesos de negocio, piensa también qué implican para la privacidad y evalúa el impacto de lo que vas a hacer. Esta aplicación te puede ayudar: con diez minutos que le dediques ahora te harás una idea (completar el test cuesta una hora).

Y si tienes dudas, mejor no arriesgues: asegúrate de que has informado a los dueños de los datos de lo que quieres hacer (y de que te han autorizado a hacerlo). Pero no “supongas” nada: hay cosas que verás de lo más normal (como felicitar el cumpleaños a clientes o trabajadores) y sin embargo pueden ser ilegales. Si no “cambias el chip” es fácil meter la pata. Parece exagerado, pero recuerda: la información que tienes sobre otros no es tuya, por eso todo lo que hagas has de advertirlo antes y pedir permiso. Tú podrás estar convencido de que me encantará que eches azúcar a mi café, pero sé prudente y avísame antes: mi café es mío y en él pondré lo que me dé la gana a mí, no lo que tú supongas que quiero.


4) ¿Qué hace mi empresa con los datos personales?

Toda empresa maneja datos, al menos, de dos grupos de personas: sus clientes (actuales o potenciales) y sus trabajadores. Nos centraremos en el primero, pero no olvides que también los trabajadores tienen derecho a la protección de sus datos (ya desde el proceso de selección y evaluación de candidatos). Básicamente, con los datos de clientes (y trabajadores), además de usarlos para tramitar sus compras o pedidos (o gestionar su relación laboral), harás lo siguiente:

  1. Obtenerlos o recopilarlos.
  2. Almacenarlos en tu sistema de información.
  3. Analizarlos o segmentarlos.
  4. Ofrecer servicios o productos (marketing).
  5. Cederlos, venderlos o “compartirlos” con otras empresas.

Como en todas estas operaciones estás procesando información que no es tuya, la LOPD te obliga a ser cuidadoso y hacerte algunas preguntas importantes, por ejemplo:

  1. Obtener o recopilar datos: ¿informé al cliente (sobre esto volvemos luego) de que estaba recogiendo sus datos y de lo que iba a hacer con ellos?
  2. Almacenarlos: ¿tienen mi empresa y mi sistema de información medidas de seguridad que eviten pérdidas de, o accesos no autorizados, a esos datos?
  3. Analizarlos o segmentarlos: ¿avisé al cliente de que iba a perfilarlo para estudios de mercado?
  4. Promocionar servicios o productos (marketing): ¿me autorizó claramente mi cliente a que le remitiese esta oferta comercial?
  5. Venderlos o “compartirlos” con otras empresas: ¿me autorizó expresamente mi cliente a que cediese datos suyos a otra empresa para ese fin concreto para el que los estoy cediendo?

Una cuestión más: una tienda virtual casi nunca trabaja sola, sino que subcontrata a otras empresas para que le presten algún servicio (paquetería, logística, hosting, nubes, gestoría, etc.). Esto supone que otra empresa manejará datos personales que son responsabilidad de tu tienda virtual. Por eso, la LOPD obliga a que dejes claro, y por escrito, lo que esa empresa puede y no puede hacer con los datos a los accede por tu cuenta. No te asustes, porque la mayoría de empresas que prestan servicios a otras lo saben, y ellas mismas han previsto el asunto (asegúrate, de todas maneras, de que lo han hecho, porque tú eres el “responsable” y ella sólo es el “encargado” del tratamiento sujeto a tus instrucciones).

 

Acuerdo de protección de datos con un proveedor


Al contratar un servicio de hosting para alojar tu tienda virtual, fíjate bien si el proveedor ha incorporado al contrato una sección sobre protección de datos. Normalmente será algo parecido a lo que hay en este acuerdo (Anexo II, pág. 10; también puedes acceder pinchando en la imagen):

Puede sonarte rara la preocupación del proveedor por las medidas de seguridad: cuando se tratan cierto tipo de datos (“sensibles”: ideología, salud, vida sexual…), hay que implantar medidas de seguridad bastante rigurosas en los sistemas, y el proveedor no puede comprometerse a hacerlo en un contrato de hosting básico como este.


5)  Primera gestión ante la Agencia de Protección de Datos 

Una vez que te pongas las “gafas” de protección de datos, has de averiguar qué información personal tienes, de dónde la sacas, para qué la usas, con quién la compartes y cómo y durante cuánto tiempo la conservas. Así que toca organizarse (o pagar a alguien para que te ayude), y legalmente hay que hacerlo por “ficheros”. La LOPD llama fichero a todo conjunto organizado de datos personales, y esto puede ser casi cualquier cosa: un armario-archivador de facturas en papel, un software de gestión de nóminas, un ERP, una aplicación integral de business intelligence… Tú decides qué vas a considerar como fichero y en cuántos ficheros vas a distribuir (a efectos legales) la información personal. Hay otras opciones, pero la mejor es distribuirla según la finalidad para la que la usas. Esta distribución suele ir en paralelo a las áreas o departamentos de tu empresa (ventas o clientes, recursos humanos, marketing…), aunque no tiene tampoco que ser idéntica. Veamos algunos ejemplos.

¿Cómo organizan la protección de datos las tiendas virtuales?


Para hacerte una idea de cómo se organizan las tiendas virtuales, vamos a consultar el registro de ficheros de titularidad privada, es decir, de empresas (para el de administraciones hay que ir aquí). En el formulario de búsqueda, introduce “Pastores” en el campo “Responsable”: verás varias empresas con ese nombre. Elige “Pastores Grupo Cooperativo”. Esta empresa aragonesa organiza sus datos personales en ocho ficheros, cada uno con una función o finalidad diferenciada (gestión de personal, de clientes, de candidatos, club de socios…). Veamos por ejemplo el fichero de “clientes”: al pinchar accedes a un resumen, pero nos interesa ahora la descripción detallada (“ver más”): ahí tienes la información sobre la finalidad (o finalidades) del fichero, dónde pueden las personas cuyos datos están ahí ejercer sus derechos, el tipo de datos que contiene, de dónde salen y si son cedidos a terceras empresas o a países sin un nivel adecuado de protección (en este caso, no). Prueba a repetir la consulta con “Atrápalo”, con “Rastreator” o con cualquier otra empresa por la que tengas curiosidad.

 

¿Y de dónde sale todo eso? Es fácil: previamente toda empresa ha debido comunicar a la Agencia Española de Protección de Datos (AEPD) qué hace con los datos personales de los que es responsable. Esta obligación de notificación o inscripción es lo que a veces se llama “legalizar los ficheros”, y se cumple a través del formulario NOTA. Intentemos ver cómo podría inscribir el fichero de clientes alguien que acaba de montar su tienda virtual.

 

Inscribiendo un fichero imaginario de clientes


EJERCICIO: Descarga el formulario NOTA y ábrelo: marca la casilla “Alta” y elige el modelo “Normal” (puedes marcar “Tipo”, pero para practicar te recomiendo el “Normal”) y la opción “Internet”. Al pinchar sobre “Cumplimentar” se abre el formulario. Fíjate que, en cada campo, hay un botón de ayuda [¿]: te será útil si te surge alguna dificultad. Si tienes que completar el campo CIF, puedes usar el tuyo y/o este otro de mentira: B62057344.

Lo primero que te pide es que te identifiques [1-2]: ¿quién será el responsable de la información y a quién han de dirigirse los dueños de los datos para ejercer sus derechos? A continuación [4] has de notificar si alguna empresa te presta un servicio que implique acceder a los datos de este fichero (o sea, un “encargado de tratamiento”). Aquí podrías incluir, digamos, la empresa de transportes que lleve tus pedidos. Luego has de formular la [5] finalidad del fichero (puedes usar lo que escribas para tu “declaración de privacidad”) y detallar qué es lo que abarca. Completa luego las preguntas sobre el [6] origen de los datos (de dónde los vas a obtener) y [7] el tipo de datos que son; según el tipo de datos habrás de adoptar [9] medidas de seguridad de nivel básico, medio o alto en el siguiente apartado. Por último, indica [10] si vas a ceder, comunicar o compartir datos personales con otra empresa. Para que sea más fácil, vamos a suponer que no sacaras datos de España y así nos ahorramos el último apartado. Una vez que hayas completado el formulario, puedes validarlo para comprobar que no falta nada. Pero no hay que enviarlo a la AEPD.

Spoiler: Highlight to view

Si quieres saber cómo se hace, aquí lo explica (y aquí se resuelven las dudas más habituales).

Esta es una de las principales obligaciones que tiene toda empresa. Se puede hacer en poco tiempo una vez que tienes claro qué flujos y tratamientos de datos personales implican tus procesos de negocio. Para cualquier duda, en la web de la AEPD hallarás información sobre esta y las demás obligaciones del empresario y cómo cumplirlas (“canal del responsable”; aquí, en forma de guía).


6) La parte peligrosa del marketing electrónico

La relación entre protección de datos y marketing electrónico es como la de Guardiola y Mou: quizá no se caen del todo bien, pero hay un par de “líneas rojas” que ninguno cruza. Las dos líneas rojas que no te puedes saltar nunca son información completa y consentimiento expreso.

En tu tienda virtual utilizarás cookies, y recopilarás además información sobre tráfico y uso de tu web para sacarle rendimiento. No creas que es sólo información estadística. Son también datos personales (por cuanto pueden vincularse con personas físicas), y tienes que decir en tu web que los conservas (si lo haces) y para qué los empleas (p.ej., análisis de mercado). Si alojas banners o bugs de otras empresas o instalas herramientas como Google-Analytics, también debes avisarlo (porque gracias a tu web otras empresas están averiguando cosas de tus clientes o usuarios). En este sitio explican la obligación legal de informar sobre todo esto, que la ley llama métodos automáticos o “invisibles” de tratamiento de datos; y también puedes verlo aquí desde el punto de vista de los derechos de los usuarios. Veamos tres ejemplos de cómo se informa sobre este tema (pinchando en las imágenes accedes a la web de la empresa):

Ahí, lo único que habría que corregir es que las “cookies” sólo se asocian a un usuario anónimo: para que se aplique la ley basta con que sea razonablemente fácil vincular la información que se obtiene con las cookies a una persona (y eso, como sabes, puede hacerse). Un poquito mejor está la información en este gran almacén:

Y también en esta web, la de un sello de confianza cada vez más habitual entre empresas virtuales:

Si tienes curiosidad,  puedes conocer las prácticas de tratamiento invisible de los grandes proveedores de servicios en Internet en relación con los bugs, beacons o balizas y con las cookies, suyas y de terceros.

La segunda línea roja está en el envío de comunicaciones comerciales (sobre todo emails, SMS y MMS). La legislación es algo enrevesada (aquí tienes un poco más claro), así que, para no liarte, sigue esta regla: nunca envíes nada a nadie por medios electrónicos si no estás absolutamente seguro de que te ha autorizado antes, y de manera expresa, para que se lo envíes. O sea, envía emails sólo a tus clientes y, al recoger sus datos, pregunta (con una casilla sin pre-marcar, por ejemplo) si desean que les envíes información comercial por medios electrónicos. Y además, en cada comunicación, indica cómo se pueden “borrar” de la lista para no seguir recibiendo ofertas. De lo contrario, puedes meterte en un lío. Sobre todo, ten en cuenta que es ilegal recopilar direcciones electrónicas en áreas públicas de Internet (foros, redes sociales, páginas institucionales…) y usarlas para enviar publicidad. Hay empresas que piensan: voy a recopilar emails publicados online (o voy a comprar una lista) y voy a promocionar mi negocio. Craso error, porque esa dirección de email no es suya.

 

Toda la "información" que envíes a un cliente (potencial) es publicidad comercial


Cada cierto tiempo recibo en mi cuenta de la universidad (publicada para fines docentes) mensajes de empresas que aparentemente no me quiere vender nada, sino que “invitan” a un evento o una conferencia, o “informan” de una publicación… Algo así, por ejemplo.

Aunque no me venden nada (y aunque también me dicen cómo evitar recibir más mensajes), es un mail comercial enviado a mi cuenta sin mi consentimiento expreso, y puede acarrear una sanción a la empresa emisora (más grande cuantos más haya enviado). La primera vez nunca denuncio, sino que envío un mensaje recordándole a la empresa que no puede hacer estas cosas. Hasta ahora, siempre me piden disculpas y me aseguran que me borran de su base de datos. Pero por si acaso no hay que arriesgar: no todo el mundo es como yo y la gente puede tener muy mala leche (o ser pariente de un competidor). Si quieres echar un vistazo a las sanciones que la AEPD impone por envío ilícito de mensajes electrónicos (emails, SMS, MMS…), sólo tienes que fijarte, en la lista anual, donde ponga “LSSI” o “Artículo 21 LSSI” (la última sanción es de octubre pasado). Por cierto, no olvides que, además de usar un dato personal, cuando haces e-marketing estás sujeto a la normativa general sobre publicidad y comunicaciones comerciales: puedes ver un ejemplo real acá.

 


7) Qué poner en la “declaración de privacidad” online

Al montar una tienda o un servicio online, hay que informar de una serie de cuestiones: si lo piensas bien, es la única forma de que la gente confíe en Internet. Sin duda habrás visto ya montones de cláusulas o políticas de privacidad, o de “condiciones legales” (además de protección de datos, hay temas de comercio electrónico que hay que tener en cuenta).

En teoría, es posible distinguir dos grupos de personas a las que tienes que dar cierta información: clientes y simples visitantes de tu página. Recogerás información de unos y otros.  A los clientes les pedirás que se registren, o simplemente tendrán que completar un formulario con sus datos para comprar en tu tienda o emplear el servicio que ofreces. Si también guardas datos (de tráfico, conexión y navegación) de los visitantes, tendrás que informarles de los métodos invisibles de tratamiento que empleas (cookies etc.). Para no liarte, puedes preparar una información sobre privacidad que sirva para los dos grupos (e incluso integrarla con el resto de cuestiones legales, aunque te aconsejo ponerla en un enlace separado). Es importante redactar con cuidado las cláusulas de información y consentimiento que aparecerán en la página web, porque lo que digas que haces es lo único que puedes hacer (y a la inversa: si no declaras un tratamiento, no puedes realizarlo luego). A continuación intentaré resumir qué es lo que tendrías que incluir en tu “declaración de privacidad”.

Identidad. Primero tienes que indicar quién eres (quién es tu empresa) y señalar también que procesas datos personales de tus clientes y usuarios (tu dirección postal y electrónica puedes colocarla aquí o más abajo, cuando les informes de a quién tienen que dirigirse si quieren ejercer sus derechos de protección de datos). Más o menos así:

Finalidad. Lo más importante es que indiques claramente para qué fines recoges y procesas los datos. Los usarás seguro para gestionar o tramitar los pedidos del cliente (recuerda cuál ha sido la finalidad del fichero de clientes que declaraste ante la AEPD). En este caso el tratamiento de datos es imprescindible para o suministrar el producto o servicio que quiere el cliente (por eso, su consentimiento se presume). Pero, normalmente, para todos los demás fines para los que vayas a usar sus datos (marketing, estudios de mercado…) necesitas su autorización. O sea, has de incluir una casilla que le permita oponerse (o consentir) a esos fines. Por ejemplo, primero te dicen:

Y luego, al comprar, te ponen la casilla (desmarcada):

Datos obligatorios u opcionales. Cuando emplees formularios de recogida de datos, debes informar sobre si los datos solicitados son obligatorios (necesarios para prestar el servicio que quiere el cliente) u opcionales (digamos, “para tus cosas”). Esto suele hacerse añadiendo un asterisco o poniendo en rojo los campos que son imprescindibles (mira el formulario web que acabas de ver).

Derechos ARCO. Debes mencionar la existencia de los derechos del titular de los datos (ARCO: acceso, rectificación, cancelación, oposición) y las condiciones para ejercerlos (mejor también en línea). Crea además una cuenta en plan <privacidadatmiempresa [dot] com> (o algo parecido) para cuestiones y dudas relacionadas con la protección de datos. Mira cómo lo hacen en una empresa que ya conoces

La información sobre tu empresa (responsable de un tratamiento de datos), la finalidad y los derechos del usuario debe constar siempre. Pero habrás de completar tu declaración de privacidad si realizas algún tratamiento de datos especial (recopilar y analizar datos de conexión, compartir datos recogidos en tu web con otras empresas, en Europa o fuera) o si entre tu público objetivo se encuentran menores de edad (por ejemplo, si tienes una juguetería online). Veamos:

Compartir datos con otras empresas (cesiones). Si piensas compartir datos de tus clientes o visitantes con otras empresas (aunque sea dentro del mismo grupo empresarial), tanto dentro como fuera de España, tienes que indicarlo y solicitar en tu web permiso para hacerlo (casilla sin premarcar); y para que valga el permiso que te den, es obligatorio que les digas exactamente con quién vas a compartir los datos y para qué fines (o sea, qué va a hacer esa otra empresa con ellos: por ejemplo, realizar envíos comerciales o promociones por medios electrónicos).

Tratamiento invisible. Como hemos visto antes, en el caso de que emplees cookies u otras técnicas “invisibles” o métodos “automáticos” para recopilar información y analizarla luego, debes informar con claridad de que lo haces, de para qué la usas (p.ej., “personalizar experiencia de navegación”, “análisis de mercado”…) y de cómo puede el usuario evitarlos (“puede usted configurar su navegador para no aceptar las cookies”).

Menores. Si lo que vendes tiene un público objetivo en el que entran menores, mucho cuidado, porque tienes que redactar la información de manera que la puedan comprender fácilmente. Ten en cuenta estas normas: (A) puedes tratar datos de mayores de catorce años con su consentimiento; pero si son menores de catorce necesitas ya la autorización de sus padres; (B) no puedes usar al menor para sacar información de miembros de su familia (p.ej. profesión, datos económicos), salvo que sean datos identificativos o de contacto (padre, madre o tutor) que le pides para verificar la autorización de sus padres; y (C) si vas a tratar datos de menores, la información debe estar en un lenguaje fácilmente comprensible por ellos y tiene que incluir bien clarito los dos puntos anteriores (A-B).

Como ves, la información que tienes que proporcionar en tu web depende siempre de lo que hagas o quieras hacer con los datos de tus clientes o usuarios.  Por eso es poco inteligente “copiar” una cláusula o una declaración que encuentres en otras páginas (quien las haya escrito originalmente incluso te podría denunciar); puedes usar las declaraciones de privacidad de otras empresas para inspirarte, pero no las copies tal cual. Y seguro que encuentras por ahí algunos consejos. Una última cosa: procura que en todas las páginas de tu sitio web, sobre todo en la de inicio y en las que tengan algún formulario de recogida de datos personales haya un enlace a tu aviso legal y tu declaración de privacidad (para que sea posible acceder directamente a información completa sobre tu política de protección de datos, incluida la forma de ejercer el derecho de acceso). Hace realmente muy mal efecto visitar una página y no ver ese enlace.

 

¿Qué puede hacer esta tienda virtual con mis datos personales?


Lee esta declaración de privacidad y contesta luego a las preguntas que se hacen más abajo en relación con lo que puede y no puede hacer esta empresa con los datos de sus visitantes.

EJERCICIO

  • (1) ¿Puede esta empresa enviarme información comercial por correo postal si me registro en su web?
  • (2) ¿Puede esta empresa conservar los datos de tráfico de su página y asociarlos a los datos de quienes completan el formulario de recogida de datos?
  • (3) ¿Puede enviar un SMS promocional a quienes le faciliten su número de móvil?
  • (4) ¿Puede compartirlos con la empresa “Marketing S.A.”?
  • (5) ¿Y con la empresa E, a la que dice que los va a ceder?
  • (6) ¿Le falta algo importante a esta cláusula de privacidad?
  • (7) ¿Puede alquilar espacio para un banner en su web o dejar que otra empresa analice el tráfico de la página?

Spoiler: Highlight to view

(1)  ¿Puede esta empresa enviarme información comercial por correo postal si me registro en su web?  SÍ, pero tiene que darme opcion de evitarlo en el formulario de registro.
 
(2) ¿Puede esta empresa conservar los datos de tráfico de su página y asociarlos...? NO, porque no me ha dicho nada del tratamiento invisible de datos.

(3)  ¿Puede enviar un SMS promocional a quienes le faciliten su número de móvil? NO, porque no ha dicho que enviará ofertas por medios electrónicos (ni le han dado permiso expreso).

(4) ¿Puede compartirlos con la empresa “Marketing S.A.”? NO, porque no me lo ha dicho.

(5)  ¿Y con la empresa a la que dice que los va a ceder? Tampoco, porque aunque me dice a quién se los va a ceder, no me dice para qué.

(6)  ¿Le falta algo importante a esta cláusula de privacidad? Varias cosas, pero sobre todo la información sobre derechos ARCO y cómo ejercerlos.

(7) ¿Puede alquilar espacio para un banner en su web o dejar que otra empresa analice el tráfico de la página? NO, aunque podría hacerlo si informase de ello.

¿Lección? Atención a lo que digas (y a lo que no digas) en tu declaración de privacidad. Puedes hacer muchas cosas, pero SÓLO SI LO ADVIERTES BIEN ANTES.

 


8) Recapitulando

Hemos tenido poco tiempo, pero espero que en estas tres horas (bueno, seguramente ha sido un poco más, si has consultado todos los enlaces) hayas aprendido algunas cuestiones básicas sobre protección de datos. En la web de la AEPD podrás encontrar mucha más información para profundizar en este tema y ayuda para resolver tus dudas. Y no olvides que la protección de los datos personales que están bajo responsabilidad de tu empresa es una parte central de tu negocio (e incluso de tu plan de negocio, porque al buscar financiación podrás mostrar que te has tomado en serio los aspectos legales de tu proyecto). Puedes sacar de ella una ventaja competitiva (porque aumentará la confianza de tus clientes potenciales y la satisfacción de los que ya tengas) y, además, te servirá para mejorar la calidad de la información que maneje tu empresa. Aquí terminamos: muchas gracias por tu atención y buena suerte.

 

 

Ficha Técnica
Título: 10. Aspectos jurídicos. Protección de datos
Autor:
Idioma: es
Publicado:
Modificado: 5 Febrero 2012
Resumen: Se presentan los aspectos legales más relevantes para el curso, como protección de datos o documento electrónico, entre otros.
Palabras clave: protección de datos, documento electrónico, gobierno electrónico
Licencia: Creative Commons (Reconocimiento 3.0 Genérica)

Formatos: [Versión para imprimir] [Versión en PDF]
Foto de
es Profesor en la Universidad de Zaragoza. Su web personal:
Citar como: (2012) :"Curso Online sobre Gestión Electrónica de Empresas" http://ciberconta.unizar.es/ecofin/drupal1/Aspectos-legales [Fecha de consulta: 5 Febrero 2012]

La clase continua en Facebook: