Todos sabemos a estas alturas que todas las páginas webs tienen, o deberían tener tres apartados en el pie o footer, a saber:
-
-
-
-
- Aviso Legal
- Política de Privacidad
- Política de Cookies
-
-
-
Apartados a los que se debe añadir otro de ‘Condiciones de Contratación (o venta) electrónica) si es que la página web en cuestión incorpora la venta o contratación de bienes o servicios, comúnmente conocido como ‘comercio electrónico’.
Ahora bien; ¿cuál es el contenido correcto que debería tener cada uno de estos apartados? pues como no podría ser de otro modo cuando escribe un abogado, o abogada en este caso, ‘depende’, pero antes de centrarnos en las particularidades, vamos a explorar el territorio común, o sea, aquel contenido legal que si o si deben tener los apartados ya indicados de toda página web.
1. Aviso Legal
Para poder entender el contenido correcto te acompaño a conocer la fuente de esta obligación, que no es otra que la 34/2002, de 11 de julio, Ley de Servicios de la Información y Comercio Electrónico, conocida comúnmente como LSSI, que en su artículo 10 dice así:
Artículo 10. Información general.
1. Sin perjuicio de los requisitos que en materia de información se establecen en la normativa vigente, el prestador de servicios de la sociedad de la información estará obligado a disponer de los medios que permitan, tanto a los destinatarios del servicio como a los órganos competentes, acceder por medios electrónicos, de forma permanente, fácil, directa y gratuita, a la siguiente información:
a) Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
b) Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
c) En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
d) Si ejerce una profesión regulada deberá indicar:
1. Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
2. El título académico oficial o profesional con el que cuente.
3. El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
4. Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
e) El número de identificación fiscal que le corresponda.
f) Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.
g) Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.
2. La obligación de facilitar esta información se dará por cumplida si el prestador la incluye en su página o sitio de Internet en las condiciones señaladas en el apartado 1.
Este aviso legal es común para las páginas web de cualquier operador económico, empresas, o autónomos, independientemente de que recopilen o no datos personales a través de formularios de la web, si además solicita, almacena o gestiona de algún modo datos de usuarios, es decir si tratan datos personales, deberá cumplimentar los otros dos apartados indicados en el encabezamiento, es decir:
2. Política de Privacidad
Las empresas deben informar a los interesados sobre el tratamiento de sus datos personales, tal y como se establece en los artículos 13 y 14 del RGPD, además, la información suministrada debe ser clara, concisa y transparente, usando un lenguaje sencillo y adaptado al nivel técnico del destinatario.
¿Cuáles son los campos mínimos que es necesario cumplimentar?
-
- Identificación del o los tratamientos
- Finalidad de cada uno
- Base Legitimadora, de cada tratamiento
- Plazo de conservación.
- Destinatarios
- Información sobre ejercicio de derechos
3. Política de Cookies
El pasado 11 de enero de 2024 terminó el periodo transitorio de 6 meses que la Agencia Española de Protección de Datos estableció para que las páginas web se adaptasen a los nuevos criterios de la Guía sobre el uso de las cookies.
La nueva versión de la Guía se publica con motivo de la adaptación de su contenido a las directrices sobre patrones engañosos publicadas por el Comité Europeo de Protección de Datos en febrero de 2023, de modo que a las obligaciones ya existente sobre el uso de cookies se unen algunas obligaciones nuevas encaminadas a evitar la utilización de malas prácticas en relación con la transparencia de la información que se suministra a los usuarios y la obtención del consentimiento de éstos.
Empecemos por recordar aquellos aspectos que la Agencia había establecido de manera expresa con anterioridad.
- Consentimiento claro y afirmativo: El consentimiento del usuario para el uso de cookies debe obtenerse de manera clara y afirmativa. Esto significa que el simple hecho de continuar navegando en el sitio no debe interpretarse como consentimiento.
- Configuración granular del consentimiento: Los usuarios deben poder dar su consentimiento de manera granular, es decir, aceptar o rechazar diferentes tipos o categorías de cookies (como cookies de análisis, publicitarias, etc.) ordenadas según su finalidad y dentro de ésta categoría según la entidad que las gestione, por ejemplo dando la posibilidad de rechazar todas las cookies gestionadas por Google o por cualquier otro responsable.
- La información debe ser concisa, transparente e inteligible: La información puede organizarse por capas. Se debe proporcionar información clara y accesible sobre el uso de las cookies, incluyendo detalles como:
a) La definición y función genérica de las cookies.
b) El tipo de cookies que se utilizan y su finalidad.
c) Identificación de quién utiliza las cookies.
d) Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies
e) Información, si las hubiera, sobre las transferencias de datos a terceros países.
f) Información sobre la existencia de elaboración de perfiles, en su caso.
g) Periodo de conservación de los datos.
h) Resto de información exigida por el artículo 13 del RGPD, qué puede remitir a la Política de Privacidad de la web.
- Actualización del consentimiento: Se recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados, con una duración no superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión
- Cumplimiento con RGPD: Debe estar en conformidad con el Reglamento General de Protección de Datos (RGPD) de la UE, garantizando la protección de los datos personales que puedan ser recogidos a través de cookies.
- Se debe monitorizar con regularidad el sitio web en busca de nuevas cookies y actualizar la política de cookies. Aunque son pocas las webs que modifican sus cookies una vez se implantan. O en su defecto, cambian alguna cookie, muy de vez en cuando.
Y ahora vamos con las novedades desarrolladas por la nueva Guía de la AEPD
- Opción de rechazo: La plataforma debe ofrecer una opción visible y fácil de usar para rechazar las cookies, que debe presentarse al mismo nivel y con la misma facilidad que la opción de aceptarlas.
- Facilidad para cambiar preferencias: Los usuarios deben poder cambiar su consentimiento sobre el uso de las cookies de manera sencilla, en cualquier momento.
- Consentimiento de menores de edad: Debe incluir medidas específicas para obtener el consentimiento en el caso de usuarios menores de edad, de acuerdo con las directrices de la AEPD.
- Evitar patrones engañosos: La plataforma no debe emplear patrones engañosos que puedan inducir a los usuarios a aceptar cookies involuntariamente. Esto incluye el uso adecuado del color, contraste y diseño en los botones y opciones de consentimiento.
Y para terminar, detallamos algunas recomendaciones de carácter general
- Documentación y registros de consentimiento: Debe mantener registros adecuados del consentimiento otorgado por los usuarios para cumplir con las obligaciones de rendición de cuentas.
En el contexto de las páginas web, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea también requiere el almacenamiento de registros de consentimiento de los usuarios. Esto es especialmente relevante en situaciones donde las páginas web recopilan datos personales, como durante el registro de usuarios, suscripciones a boletines informativos, o el uso de cookies y tecnologías de seguimiento.
Para las páginas web, mantener registros de consentimiento implica:
- Documentar cómo y cuándo se otorgó el consentimiento: Registrar la fecha y el método a través del cual los usuarios dan su consentimiento (por ejemplo, marcando una casilla, haciendo clic en un botón, ajustando las configuraciones de cookies, etc.).
- Claridad en la información presentada: Asegurar que los usuarios estén plenamente informados sobre el uso de sus datos al momento de dar su consentimiento. Esto incluye la naturaleza de los datos recogidos, los fines del procesamiento, y cualquier tercero que pueda tener acceso a los datos.
- Facilitar la revocación del consentimiento: Ofrecer una manera sencilla para que los usuarios retiren su consentimiento en cualquier momento.
- Seguridad y privacidad de los registros: Proteger los registros de consentimiento para evitar accesos no autorizados o filtraciones de datos.
- Evidencia del consentimiento: Mantener evidencia del consentimiento que pueda ser presentada en caso de ser requerido por las autoridades reguladoras.
- Facilidad de integración y actualización: La plataforma debe ser fácil de integrar y actualizar para garantizar que se mantenga al día con cualquier cambio en la legislación o en las mejores prácticas.
Más información, en el post dedicado específicamente a las novedades sobre gestión legal de cookies en 2024 , y en el post sobre Requisitos del Consentimiento necesario para la gestión de Cookies: ¿es suficiente con que el editor justifique que ha solicitado el consentimiento para instalar cookies? ¿o es necesario además acreditar como y cuando se ha obtenido?
4. Consentimiento de los interesados o cliente
Además, en determinados casos, puede ser necesario obtener consentimiento de los interesados o cliente, cuando tal consentimiento se configure como la base legitimadora para un determinado tratamiento, como el caso de suscripción a la Newsletter o Boletín de Noticias.
5. Principios generales del tratamiento de datos personales y su relación con las Políticas de las páginas web:
- Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
- Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
Además no podrán ser tratados posteriormente de manera incompatible con dichos fines, o para finalidades que el interesado no haya podido razonablemente prever.
- Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, es decir, minimizar la cantidad de información que ser solicita o que se trata, usando solo los datos mínimos imprescindibles en relación con cada finalidad sobre la que se debe haber informado previamente al interesado, con transparencia.
- Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
- Los datos personales no se podrán conservar indefinidamente, ni un plazo mayor del necesario.
- A cualquier tratamiento de datos incluyendo la transmisión, almacenamiento, etc, deberá aplicársele medidas de Seguridad adecuadas, según la sensibilidad de los datos y el estado de la técnica, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
- Las medidas anteriores no solo hay que cumplirlas, sino ser capaces de demostrar el cumplimiento («responsabilidad proactiva»).