Actualmente internet nos permite encontrar y conocer a la mayoría de las empresas o entidades, que hacen de su página web su primera pantalla de presentación, y en la que es fundamental proporcionar una información, clara, precisa y sencilla que reforzará la imagen de la empresa ante los potenciales clientes.
Pero, ¿qué textos legales ha de incluir una página web?
En gran cantidad de portales web podemos ver, habitualmente anclados en su parte inferior, un Aviso Legal, Política de Privacidad y Política de Cookies.
Si bien es cierto que acostumbramos a ver estos tres textos juntos, es importante saber que la adecuación legal de una página web deriva por una parte de la normativa aplicable en materia de protección de datos, y por otra parte de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI).
Normativa en materia de protección de datos.
Respecto de esta materia, es necesario centrar nuestra atención en la obligación de informar a los interesados cuando se recaben sus datos de carácter personal.
Ya la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), establecía en su artículo 5 las obligaciones respecto de la información que se ha de facilitar a los interesados en el momento en que se soliciten sus datos:
La existencia del fichero o tratamiento, su finalidad y destinatarios.
El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
La identidad y datos de contacto del responsable del tratamiento.
Sin embargo, ya ha sido objeto de análisis en este Blog (ver aquí), que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, incorporando, en líneas generales, los siguientes detalles:
Los datos de contacto del Delegado de Protección de Datos, en su caso.
La base jurídica o legitimación para el tratamiento.
El plazo o los criterios de conservación de la información.
La existencia de decisiones automatizadas o elaboración de perfiles.
La previsión de transferencias a Terceros Países.
El derecho a presentar una reclamación ante las Autoridades de Control.
Ahora bien, ¿cómo se puede facilitar toda esta información al interesado?
La opción cada vez más extendida, es indicar antes de enviar el formulario de recogida de datos, un enlace a través del cual el interesado pueda consultar toda la información acerca del tratamiento de sus datos en un único texto, comúnmente denominado Política de Privacidad.
En este texto se podrá facilitar toda la información que exige el RGPD, y tendrá que hacerse de una forma clara y sencilla.
Además, es necesario asegurarse de que el interesado ha leído dichos términos, o ha tenido la opción de hacerlo, y por ello necesitaremos que marque una casilla de “He leído y acepto la Política de Privacidad” por ejemplo. A este respecto, es fundamental que la casilla no se encuentre previamente marcada, y que el formulario de recogida de datos no se pueda enviar sin haber aceptado previamente los términos o política de privacidad, marcando la casilla correspondiente. Así, guardando la evidencia de ese check, contaremos con el consentimiento explícito del interesado y con los medios para poder demostrarlo. Medidas que facilitarán el cumplimiento del principio de responsabilidad proactiva o accountability.
Es cierto que solamente deben cumplir con estas exigencias las páginas web que recaben datos de carácter personal, pero en la actualidad lo más común es que exista al menos un formulario de contacto en el que se soliciten unos datos mínimos para poder enviar la solicitud de información deseada.
Exigencias conforme a la LSSI, ¿a qué nos obliga?
En primer lugar debemos recordar (cuestión ya tratada en nuestro Blog), que la LSSI no aplica a todo tipo de páginas web, sino solamente a aquellas que contengan publicidad, o que sin incorporar esta publicidad, sean webs corporativas. En consecuencia, podríamos dejar fuera aquellas páginas web personales, es decir, que no se refieren a la actividad profesional del titular y no tienen publicidad alguna.
Acotado ya su ámbito de aplicación, debemos hablar de dos textos, Aviso Legal y Política de Cookies.
Por una parte, encontramos en el artículo 10 de esta norma los requisitos que debe contener nuestro Aviso Legal. A través de este texto habrá que incorporar unos datos mínimos que identifiquen al titular del portal web que variarán en función del tipo de entidad ante la que nos encontremos (Nombre o denominación social, número de identificación fiscal, dirección de correo electrónico, datos del registro público en el que se encuentre inscrito el titular de la web, entre otros).
Asimismo, es recomendable incorporar unas reglas o condiciones de uso que permitan al usuario que visita la web conocer cuáles son los usos permitidos respecto de la información, contenidos y servicios que se pone a su disposición en la web.
Por otra parte, traemos a colación una vez más las Cookies. En este Blog ya se ha tratado esta cuestión en más de una ocasión (ver aquí y aquí), y aprovechamos para recordar la importancia de cumplir con las exigencias de la LSSI (artículo 22.2) y las directrices de la Agencia Española de Protección de Datos a este respecto.
Para finalizar, consideramos fundamental recordar que el artículo 21 de la LSSI obliga a los prestadores de servicios a contar con el consentimiento expreso previo de los usuarios para poder proceder al envío de comunicaciones comerciales por vías electrónicas, como puede ser a través del email.
¿Cómo podemos obtener este consentimiento de los usuarios que nos faciliten sus datos a través de nuestra página web?
Para ello debemos dar al usuario la opción de aceptar dichos envíos publicitarios, bien marcando una casilla dispuesta al efecto, o alguna otra fórmula que deje constancia de la obtención de tal consentimiento. Una opción válida sería por ejemplo la siguiente:
[ ] Deseo recibir información acerca de vuestros productos.
Recordemos que la casilla no podrá encontrarse en ningún caso premarcada, y que debemos dejar de utilizar las fórmulas en sentido negativo (según últimos criterios del Grupo de Trabajo del artículo 29 analizados en nuestro Blog).
Esta obligación, que ya impuso la LSSI en su última actualización (en vigor desde el 1 de mayo de 2010), no se ha visto modificada con la plena aplicación del RGPD.
Conociendo este extremo, genera cierta confusión la nueva solicitud o confirmación de nuestros consentimientos por parte de multitud de entidades, cuando todas ellas ya deberían de contar con nuestro consentimiento expreso para poder enviarnos informaciones comerciales por vías electrónicas.