Una de las cuestiones más controvertidas es cómo cumplir la LOPD y LSSI en un blog. La legislación española vigente en materia de privacidad y protección de las comunicaciones electrónicas nos obliga a adecuarnos principalmente a dos leyes: la Ley Orgánica de Protección de Datos (LOPD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
La controversia viene porque, la mayoría de las veces, las leyes no están redactadas para la gente corriente. Y el problema se acrecienta si, para cumplir la ley, son necesarios ciertos conocimientos técnicos. Digamos que la dificultad es doble: capacidad para entender, o interpretar la ley, y capacidad para aplicar soluciones técnicas con el fin de adecuarte a las exigencias de dicha ley.
Pero en Blogpocket queremos ponértelo fácil. Si has llegado hasta aquí es porque quieres saber cómo cumplir la LOPD y LSSI en tu blog. Y quieres saberlo sin tener que leer textos legales complicados. Pim pam, al grano.
¿De qué leyes estamos hablando?: LOPD y LSSI
En primer lugar, te aclararé en que se diferencian ambas leyes.
- LOPD: en pocas palabras, esta ley garantiza que si proporcionas datos en un blog (por ejemplo, para suscribirte a una newsletter), no se comercie con ellos y que se mantengan debidamente protegidos.
- LSSI: es una ley que abarca muchos aspectos pero, en resumen, regula cualquier comunicación que se realice por un medio electrónico con objeto de evitar abusos y proteger a los usuarios. A efectos prácticos, nos interesa su artículo 22, la denominada «Ley de Cookies» que obliga a informar del uso de cookies y al usuario y a que éste consienta que acepta su uso.
¿Qué es la AEPD?
La Agencia Española de Protección de Datos (AEPD) es un organismo encargado de velar por el cumplimiento de la LOPD y LSSI.
¿En qué casos tengo que cumplir con la LSSI y, más concretamente con la Ley de Cookies?
Tienes que cumplir con la LSSI cuando tu sitio Web (personal o de cualquier otro tipo) tenga propósito comercial.
Es muy difícil interpretar la LSSI y discernir cuándo un sitio Web tiene beneficio económico para su propietario. No obstante, según explica Jesús Rubí Navarrete, Adjunto al Director en la AEPD, en esta entrevista, se deduce que un blog no comercial no está sujeto a la LSSI (marco de la ley de cookies).
Se entiende por blog «comercial» cualquiera en el que se venda algo directa o indirectamente o del que se obtenga un beneficio económico a través de publicidad (directa o mediante patrocinadores).
Acerca del uso de plataformas alojadas como Blogger, WordPress.com, Tumblr, etc., existe una resolución reciente de la AEPD que puedes leer aquí y que, en resumen, se trata de un procedimiento sancionador a Google (no al responsable del blog) por infringir la LSSI por usar cookies indebidamente durante la creación de un blog genérico en Blogger.
Por lo tanto si en tu blog no vendes nada, ni tienes publicidad, en principio no estás sujeto a la LSSI ni a la ley de cookies. Tampoco deberías preocuparte, de momento, si usas un sistema de publicación del estilo de Blogger, WordPress.com, Tumblr, etc.
¿En qué casos tengo que cumplir con la LOPD?
Es necesario cumplir con la LOPD siempre que solicites y guardes datos de tus usuarios, aunque tu sitio Web no tenga propósito comercial. Este es el caso de la mayoría de los blogs, por ejemplo, que ofrecen el envío de las actualizaciones, a partir del RSS, por e-mail (newsletter), previa suscripción.
Siempre que gestionemos datos personales, como pueden ser el nombre y la dirección de e-mail en cualquier campaña de e-mail marketing (vendas o no vendas), estaremos obligados a adecuarnos a la LOPD.
Si posees un sistema de comentarios en tu blog, también estás obligado, ya que en la mayoría de dichos sistemas se solicitan nombre y e-mail.
Compártelo en Twitter
[Tweet «Me gusta este artículo de @blogpocket sobre cómo cumplir la LOPD y LSSI en un blog»]
¿Cómo adecuarte a la LOPD?
Para cumplir con la LOPD debes garantizar que los datos que te proporcionan tus usuarios no van a ser utilizados para otro fin distinto o por terceros sin su conocimiento o autorización expresa. Para ello, debes llevar a cabo lo siguiente:
- Informar al usuario sobre el registro y utilización de sus datos personales.
- Dar de alta el fichero de datos en la AEPD.
Cómo informar al usuario
La LOPD exige que informes al usuario clara y compresiblemente de lo siguiente:
- Tu identidad y dirección.
- La existencia de un fichero o tratamiento en el que se incluirán los datos de los usuarios.
- Para qué se necesitan los datos personales de los usuarios.
- Si los datos personales de los usuarios se van a ceder con posterioridad a un tercero.
- La forma de ejercitar los derechos de acceso y rectificación.
La mejor forma de informar al usuario debidamente es emplear los siguiente medios:
- Correo para confirmar la suscripción. Este mecanismo se utiliza para validar la suscripción a una newsletter y es un buen sitio para informar de las condiciones: antes de que se suscriba definitivamente.
- Página de Política de Privacidad. Incluye una página de «Aviso legal» o «Política de Privacidad» en todas las páginas de tu blog. Puedes usar como modelo mi propia página de privacidad (obtenida del blog de Nuria Castro).
Cómo dar de alta el fichero de datos en la AEPD
Para dar de alta el fichero de datos personales, recogidos en tu blog, hay que descargarse un PDF interactivo desde esta página de la AEPD.
Para llevarlo a cabo sin problemas, ten en cuenta lo siguiente:
- El PDF interactivo solo funciona si tienes la última versión de Adobe Acrobat.
- Rellena los datos del PDF y envíalo firmado a la AEPD (por correo postal o con firma electrónica si posees certificado digital).
- Guarda el código de inscripción que recibirás como respuesta a la solicitud si lo envías con firma electrónica.
- Antes de 30 días recibirás una carta postal con la resolución de tu solicitud. Si se ha aprobado, tu fichero ya está inscrito y puedes consultarlo aquí.
Más información: consulta la guía de la AEPD.
¿Qué es una transferencia internacional de datos?
A la hora de trata los datos personales proporcionados por los usuarios, es necesario tener en cuenta dos cuestiones clave: la ubicación de los datos y el encargado del tratamiento. Por ejemplo, en una campaña de e-mail marketing o envío de newsletter, en la que utilizamos aplicaciones de terceros, es de vital importancia conocer a fondo la política de privacidad de esas empresas.
Para la AEPD no es lo mismo que el servidor donde se almacenan los datos se encuentre en España que en Estados Unidos. En el caso de que los datos se alojen fuera de España, se considera una transferencia internacional de datos y hay que especificarlo cuando se inscribe el fichero.
Por ello, debes estar seguro de que el encargado del tratamiento de los datos (es decir, la aplicación que vas a usar para gestionar tus campañas de e-mail marketing, por ejemplo) cumple las obligaciones de seguridad y privacidad adecuadas.
El Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválida la Decisión de la Comisión 2000/520/CE que establecía el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro publicado por su Departamento de Estado. Ver la Nota de Prensa.
Eso significa que, si hablamos de una newsletter, utilizar un servicio que posea los servidores fuera de la Unión Europea (por ejemplo MailChimp), implicará, por lo general, que la AEPD no permitirá el registro del fichero de suscriptores.
La documentación acerca del «safe harbor» la puedes ver aquí.
¿Cómo adecuarte a la LSSI?
La LSSI, como vimos anteriormente, te afecta si ganas dinero con tu sitio Web, directa (venta) o indirectamente (publicidad). La ley te obliga a informar de todos los datos relacionados con tu actividad comercial:
- Denominación social, NIF, domicilio y dirección de correo electrónico.
- Datos de inscripción mercantil y de conducta.
- Precios de los productos o servicios ofrecidos (impuestos y gastos de envío).
- etc.
Sin embargo, esta ley incluye la denominada Ley de Cookies (artículo 22 de la LSSI), que implica multas elevadas en caso de infracción.
Cómo cumplir la Ley de Cookies
Lo primero que habría que decir al respecto es que, probablemente, el 99% de los sitios Web comerciales en España incumplen la ley: todas cargan cookies antes del consentimiento explícito o implícito del usuario.
Aquí entramos en las dificultades técnicas de las que hablaba al principio. Si la inmensidad de bloggers no saben tan siquiera lo qué es una cookie ¿cómo pretender que instalen herramientas (la mayoría muy complejas) para resolver el problema?
De ahí, la proliferación de todo tipo de servicios (aplicaciones informáticas, consultorías de abogados, etc.) que ha surgido a raíz de la ley de cookies. No hay demasiadas opciones sencillas y fáciles de llevar a cabo que no pasen por gastarse dinero.
He probado las soluciones (plugins, scripts y aplicaciones) más conocidas con el fin de poder aplicarlo a un blog desarrollado con WordPress.org. De todas ellas, te recomiendo las siguientes (las únicas que permitirían muy fácilmente cumplir la ley de cookies a rajatabla serían las dos primeras; es decir, no instalar cookies hasta que el usuario dé su consentimiento).
- Sitebeam. Se trata de un script externo fácilmente configurable, muy bien documentado tanto para configurarlo si el blog registra estadísticas de Google Analytics como si posee botones de redes sociales o comentarios de Disqus, etc. ¿Dónde lo puedo ver en acción?: Host Fusion.
- Smart Protection. Es un servicio online de pago (29€) muy interesante, con el que puedes adaptarte a la ley de cookies con un clic y en 5 minutos. He tenido ocasión de hablar directamente con ellos y de probarlo. Actualmente, se instalan cookies previamente al consentimiento pero está previsto incorporar la función, lo que permitiría poder cumplir estrictamente la ley. El soporte técnico telefónico es impecable. ¿Dónde puedo verlo en acción?: Monstruo de los blogs.
- Asesor de cookies. Solo sería válida esta solución si tu blog no es comercial. Y una buena solución si quieres avisar del uso de cookies en tu blog. Lo bueno de este plugin es que genera automáticamente los textos de Aviso legal y política de cookies que también es obligatorio según la LSSI. ¿Dónde se puede ver funcionando?: Blogpocket.
Pero ¿cuál es el problema de no permitir instalar cookies hasta que el usuario dé su consentimiento? Fundamentalmente, el sistema de estadísticas de Google Analytics. Si no dejamos que se cargue ninguna cookie, no se registraría la visita a esa página. Acerca de las cookies de Google Analytics, Jesús Rubí Navarrete (AEPD) nos tranquiliza cuando afirma: «Lo que recoge el texto es que, pese a que no están exentas del deber de obtener un consentimiento informado para su uso, no parece probable generen un riesgo para la privacidad de los usuarios siempre que se cumplan unos requisitos: que se trate de cookies de primera parte, que se limiten estrictamente a fines de recopilación de información estadística agregada, que se facilite información sobre su uso y que se ofrezcan garantías adecuadas de privacidad.»
Más información: Guía de cookies de la AEPD.
Conclusiones
Si tu blog no es comercial: debes cumplir solo la LOPD en el caso de que solicites, guardes y trates datos personales de tus usuarios. Para ello, tu obligación es informar al usuario e inscribir el fichero en la AEPD.
Si tu blog es comercial, además de la LOPD (en el caso determinado anteriormente), debes adecuarte a la LSSI: es necesario que informes al usuario de tu actividad comercial y del uso de cookies, proporcionando un mecanismo para que no se instalen cookies hasta que se consienta su uso.
Epílogo
En la entrevista de Blogoff al adjunto al Director de la AEPD la única información que se echa en falta es justamente la más importante: si se pueden instalar cookies de forma simultánea a la visualización de la primera capa de información. El artículo 22 de la LSSI dice: «En consecuencia, la instalación de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. En este sentido, la instalación de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si permiten o no la implantación de estos dispositivos«.
Es decir, y como dije previamente, el 99% de las Webs en España incumplen la LSSI.
Hubiese estado mucho más que bien que el Sr. Rubí desvelase el gran misterio de Internet en España en estos momentos en dicha entrevista.
Deja una respuesta