Consejos para cumplir la LOPD (y RGPD) en mi blog
¿Quieres adaptar tu blog a la LOPD: Ley Orgánica de Protección de datos? ¿Y a la RGPD? Aquí tienes los mejores consejos:
Índice del Artículo:
Antes de nada comentarte que las leyes de protección de datos van cambiando cada poco tiempo por lo que te recomiendo que revises el servicio de Lexblogger para adaptar tu web de forma legal.
Los que tenemos un blog sabemos que hay algunas leyes como la LOPD que debemos cumplir pero muchas veces no tenemos conocimientos suficientes sobre estos temas y contratar a un experto se puede salir de nuestro presupuesto.
Para eso está aquí Ana González del Río que nos aclarará todas estas dudas. Os dejo con ella:
Si te apasiona el mundo del bloguismo como a mí y tienes tu propio blog te interesa saber que no puedes actuar al margen de la ley, ni siquiera aquí. Es necesario cumplir los requisitos legales exigidos, entre ellos la normativa de Protección de Datos y la que regula los servicios de la sociedad de la información (LSSI).
Con Internet, cualquiera puede tener una página web o un blog donde expresar sus opiniones o hacer sus negocios y, la mayoría de las veces, esos sitios virtuales no se encuentran adaptados a las leyes.
Sí, ya sé que leer la ley es un tostón pero voy a ponértelo fácil. Te voy a explicar en unos sencillos pasos cómo cumplir la LOPD y la LSSI en tu blog sin que tengas que leer enrevesados textos legales.
🤔 ¿Qué es la LOPD y quién está obligado a cumplirla?
La LOPD es la que regula las obligaciones referentes a la recogida de los datos, autorización, registro, conservación, uso, así como los datos especialmente protegidos y comunicación o cesión de los mismos. Esta ley garantiza que si facilitas datos en un blog (por ejemplo, para suscribirte a una newsletter), no se comercialicen y se mantengan debidamente protegidos.
Están obligados a cumplir la LOPD todas personas, empresas, organizaciones e instituciones que manipulen datos de carácter personal. Los datos personales son aquellos que hacen referencia a una persona física identificada o identificable.
Respecto al correo electrónico, tan solicitado para suscribirnos a cualquier blog, se considera dato de carácter personal cuando se vincula directa o indirectamente con una persona física. En ese caso, Cuidado: utilizar direcciones de correo electrónico sin consentimiento de los titulares infringe la normativa de Protección de Datos y puede ser sancionado por la Agencia Española de Protección de Datos.
☝🏼 Obligaciones exigidas por la LOPD a bloggers
La mayoría de los blogs nos piden datos personales, como nombre, apellidos, e-mail, para inscribirnos y, de esta manera, nos remitan sus publicaciones. Al hacer esto, se están recogiendo datos personales que identifican a personas físicas concretas y se almacenan estos datos.
Este conjunto de datos personales se denomina fichero y, como propietarios de un blog, somos los responsables de los ficheros que hayamos creado.
Las principales obligaciones que tenemos para cumplir la LOPD en nuestro blog son:
- Calidad de los datos: Los datos sólo pueden recogerse si son adecuados, pertinentes y no excesivos, y deben utilizarse para la finalidad para la que fueron recabados. Deben ser exactos y puestos al día, suprimiéndolos cuando ya no sean necesarios.
- Deber de información: Debe informarse a los usuarios a los que se pidan sus datos personales de que existe un fichero de datos personales y de la finalidad para la qué se va a utilizar tal fichero. Igualmente se deberá avisar de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, al igual que de la identificación y dirección del responsable.
- Consentimiento y comunicación de datos. El tratamiento de datos personales exigirá que exista un previo consentimiento del interesado o afectado.
- Deber de secreto: el responsable del fichero y aquellos que intervengan en el tratamiento de los datos personales están obligados al secreto profesional sobre esos datos, deber que seguirá existiendo aun después de finalizar sus relaciones con el titular del fichero.
- Seguridad: corresponde al responsable del fichero y, en su caso, al encargado del tratamiento, imponer las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal e impidan su modificación, pérdida, y su tratamiento o acceso no autorizado.
👣 Pasos para cumplir la LOPD en un blog
Inscribir los ficheros con datos personales de que disponemos ante la AEPD
Para dar de alta el fichero de datos personales, recopilados en tu blog, lo primero que hay que hacer es descargarse un PDF interactivo desde esta página de la AEPD.
Para poder hacerlo sin problemas, debes tener en cuenta lo siguiente:
- El PDF interactivo solo funciona si tienes instalada la versión actual de Adobe Acrobat.
- Completa los datos del PDF y remítelo firmado a la AEPD (por correo postal o con firma electrónica si dispones de certificado digital).
- Conserva ese código de inscripción que obtendrás como respuesta a la solicitud si lo envías con firma electrónica.
- En un plazo de 30 días te enviarán una carta postal con la resolución de tu solicitud. Si está admitido, tu fichero ya está inscrito y puedes consultarlo aquí.
Si quieres más información puedes consultar la Guía de la AEPD.
Informar al usuario sobre la recogida y el uso de sus datos personales
Según la LOPD, debemos informar a los usuarios de forma clara y comprensible sobre:
- Nuestra identidad y dirección.
- La existencia de un fichero o tratamiento en el que se incorporarán los datos de los usuarios.
- Para qué se van a usar los datos personales de los usuarios.
- Si los datos personales de los usuarios van a cederse posteriormente a un tercero.
- La forma de ejercitar los derechos de acceso, oposición, cancelación y rectificación.
Esta información podemos realizarla a través de un correo para confirmar la suscripción en el que se advierta de estas cláusulas antes de efectuarse la suscripción definitiva. Pero lo habitual es informar a través de la Política de Privacidad que debemos incluir en la página del blog.
Las cláusulas de información dirigidas a informar al usuario sobre los términos y condiciones de tu blog son un requisito básico desde el momento en que usas cualquier sistema de recopilación de información personal, como un formulario de contacto o suscripción y con mucha más razón si llevas a cabo procesos de venta directa o indirecta, como la obtención de ingresos mediante anuncios.
Transferencias internacionales de datos
En el caso de que vayamos a realizar alguna transferencia de estos datos personales a terceros países debemos informar a la Agencia Española de Protección de Datos. Por ejemplo, en una campaña de e-mail marketing o envío de newsletter, en la que usamos aplicaciones de terceros, es de vital importancia conocer a fondo la política de privacidad de esas empresas, debiendo estar seguros de que el encargado del tratamiento de esos datos cumple las oportunas obligaciones de seguridad y privacidad.
Contratos de acceso a datos por cuenta de terceros
Como responsables de un fichero de datos personales debemos asegurarnos de que quienes tengan acceso a esos datos actúen con la misma diligencia que nosotros en el tratamiento que realicen de los mismos.
Esta figura se denomina encargado del tratamiento y, en el caso de un blog, sería un desarrollador web, proveedores informáticos, moderadores autónomos, servidores de hosting, gestoría, etc. u otros proveedores de servicios, como pueden ser trabajos de limpieza, arrendamiento de locales, etc., que por el tipo de servicio prestado pueden acceder a los datos personales de los que tu eres responsable.
Es necesario firmar con estos encargados del tratamiento un contrato de acceso a datos personales para garantizar que hacen un uso adecuado de la información a la que tienen acceso. En este contrato se debe especificar: el tipo de colaboración, el tipo de acceso a datos personales, la duración del encargo y los términos en que pueden usar esta información.
🤷🏻♂️ ¿Y qué pasa con la LSSI? ¿Tengo que cumplirla?
La LSSI regula cualquier notificación que se efectúe por un medio electrónico con objeto de evitar abusos y proteger a los usuarios. Sobre todo nos interesa el apartado dedicado a la Ley de Cookies que obliga a informar del uso de cookies y al usuario y a que éste consienta que acepta su uso.
En caso de los blogs, es difícil determinar si tienen un beneficio económico. En principio, si en tu blog no tienes publicidad ni vendes nada, no estás sujeto a la LSSI y a la ley de Cookies. Personalmente, te recomiendo incluir en el blog la política de cookies por si acaso.
Política de Cookies
La LSSI obliga a informar sobre el uso de cookies de manera clara, completa y previa a su instalación, de forma que se pueda conseguir el consentimiento informado del usuario previamente a ser descargadas y en esto precisamente reside su complejidad.
Debes otorgar al usuario la posibilidad de salir de la web sin que se le hayan instalado cookies, es decir, tenerlas atadas hasta que el usuario te dé su consentimiento y luego abrir el grifo de las cookies para que se expandan por el ordenador del usuario.
Para avisar de las cookies, existen varias formas:
- Página de bienvenida con el aviso sobre cookies y botón de aceptar
- Ventana emergente previa que interrumpa la carga completa de la página hasta la aceptación
- Encabezamiento o pie de página con la advertencia y una caja de aceptación.
👎🏼 Consecuencias de incumplir la LOPD y LSSI
Los efectos más importantes que se producirán en caso de incumplimiento de la normativa legal tanto en una web como en un blog son:
- Abandono legal en caso de reclamaciones injustificadas:no tener un blog legal es no proteger tus propios intereses y admitir reclamaciones incoherentes por no protegerte legalmente. Debes considerar que estás regulaciones no solo preservan los intereses de usuarios y consumidores, protegen asimismo los de los prestadores como tú.
- Sanciones inasumibles y riesgos en tu reputación:Una denuncia de un usuario por incumplir con tus obligaciones legales en materia LOPD y LSSI puede originarte importantes sanciones por infracciones a la LOPD y la LSSI que pueden hacer explotar todo tu proyecto y acabar con tu reputación.
- Detrimento de competitividad:tener un blog al margen de la legalidad te deja en descubierto ante tu propia competencia y te quita fiabilidad profesional. Tu competitividad será menor si no puedes garantizar derechos y deterioras tu imagen profesional.
- El nuevo Reglamente europeo de Protección de Datos: no solo fortalece la actual LOPD sino que exige mayores obligaciones y controles a todos los operadores que realicen tratamientos de datos personales, en especial, los que actúen por internet.
¿Estás buscando información sobre la nueva ley de protección de datos RPGD? Accede a la lección:
- Aprende a añadir el check en tus formularios
- Añade el texto legal en tus formularios
- Actualiza tu página de política de privacidad
Comentarios
¡Muchas gracias por la esta información de valor, Ana!
Lo cierto es que pienso que toda la legalidad entorno a la protección de datos es tenida bastante en desconsideración por la mayoría de los que empiezan (empezamos 😉 ) con un blog, pero sin embargo es fundamental estar cubierto y totalmente tranquilo en caso de que alguien te quiera “buscar las cosquillas”.
Muchas veces creo que incluso los diseñadores web no le prestan toda la atención que deberían.
Un abrazo.
Gracias a ti Juan, me alegro de que la información te haya sido útil. Lo cierto es que, con la entrada en vigor del nuevo Reglamento europeo de Protección de Datos, cada vez se va a controlar más todo esto. Así que tenemos que empezar a concienciarnos de la importancia de proteger los datos personales.
Saludos
Gracias a los dos por el aporte! 🙂
Gracias por toda la información que nos has facilitado Ana!
Yo tengo una duda respecto a la nueva ley de protección de datos. Trabajo en el ayuntamiento, y cada año ofrecemos ayudas de emergencia social a personas que más los necesiten. Como es normal, la identidad de las personas que reciben este tipo de ayudas suele ser confidencial, y por tanto, no está expuesto al público. Sin embargo, en el ayuntamiento sí que disponemos de información de estas personas, es decir, en vez de aparecer el DNI de los que reciben esta ayuda, por ejemplo, nos aparecen su nombre y apellido, qué sucede en estos casos? cómo hay que actuar actualmente frente a esta falta de privacidad? puesto que, cualquier trabajador del ayuntamiento puede acceder a estos datos.
Espero que me pueda ayudar, muchísimas gracias!
Aquí entra la parte de confidencialidad que cada trabajador de la empresa o del ayuntamiento firma en su contrato. En caso de hacer uso de los mismos de forma incorrecta se tomarían las acciones legales pertinentes.
Independientemente de la seguridad, tecnología y encriptación que tienen que tener esos datos privados, es la empresa o el ayuntamiento en este caso, el que debe filtrar los datos para que sean accesibles solo por el personal que realmente necesita saberlos.
A ver si Ana lo confirma.
Un saludo!
Muchas gracias por toda esta información tan útil Ana!
Yo tendría una duda, y es que tengo un blog personal en el que no recojo ningún tipo de dato personal, no tengo ni formulario de contacto para consultas (solo indico un email) y tampoco permito comentarios, por tanto no sé si tendría que cumplir alguna normativa.
Muchísimas gracias de antemano.
Un saludo!
En ese caso sólo el aviso de cookies si tienes instalado Google Analytics. No obstante la base de un buen blog se basa en seguir una buena estrategia de email marketing por lo que te recomiendo que empieces a trabajarlo con el curso de Email Marketing. Saludos!
Buenas tardes,
Tengo una consulta a ver si me puede aclarar alguien que sepa del tema. Tengo un blog de artículos y noticias un tanto polémicas para algunos. Esto puede provocar que haya muchos “haters” por ahi. Es por este motivo que me siento desprotegido con esta nueva ley que me obliga a poner en público mis datos personales con Nombre, Apellidos, DNI y dirección en la politica de privacidad, a la que cualquiera puede y “debe” tener acceso. Lo unico que quiero es recopilar los emails de los suscriptores para avisarles de nuevo contenido, no me importan sus nombres reales ni de donde sean, simplemente quiero mandarles las notificaciones pertinentes, y tambien tener un formulario de contacto para cuando alguien quiera contactarme por cualquier asunto. Se me ocurre que en los formularios tanto de suscripcion como de contacto, puedo pedir en vez de nombre un pseudónimo, ya que “el correo no se considera dato personal si no va asociado a un nombre real o identidad”. Seria esto correcto desde el punto de vista de la nueva ley? Si no, que otras opciones tengo? Parece que todo es muy bonito y seguro en este nuevo mundo LOPD, pero en realidad a los blogueros que tratamos temas sensibles y que antes podíamos estar mas o menos en el anonimato, ahora cualquiera nos puede poner una diana en la espalda… Esto es muy serio, y he buscado por ahi a ver si hay alguna informacion concerniente a esto, pero nada de nada. Muchas gracias!
Muy buena pregunta. Te comento sin ser experto en el tema que el email si es un dato personal esté o no asociado a un nombre por lo que con la nueva ley RGPD debes facilitar tus datos además de cumplir con el resto de requisitos si almacenas los emails y haces envíos masivos.
En caso de no querer hacerlo no podrás mandar emails de aviso.
Como solución puedes usar algunas alternativas al email marketing.
No es la mejor opción pero no puedes hacer otra cosa si no quieres/puedes cumplir la ley y si no quieres tener problemas.
Un saludo!
Gracias Borja!
1. Estos metodos que propones no necesitan exponer los datos propios?
2. Te planteo un supuesto: digamos que en vez de un formulario de contacto normal y corriente, pongo solo un campo a rellenar, junto al que pongo la siguiente advertencia: [ Debido a la nueva ley de proteccion de datos, para pedirte abiertamente el email me obligan a exponer mis datos (nombre, dni, direccion, etc.), con el peligro que eso implica. Asi que no te voy a pedir nada concreto, solo escribe en este campo lo que quieras que me llegue, y asegurate de dejarme una forma de contacto si quieres que te responda. Quien lea entienda]
Si yo pongo esto, virtualmente no estoy pidiendo datos personales, y dejo a la eleccion de la persona que me ponga su correo, su telefono, o que me diga que quedamos en la esquina a x hora. Esto sería válido delante de la nueva ley de desproteccion de datos? Si no estas seguro, me podrias recomendar un experto en la materia?
3. Me aconsejas ir a la agencia de proteccion de datos a quejarme de este abuso y desproteccion de mis propios datos? En el sentido de si crees que conseguiré algo.
Muchas gracias!
PS.: Estoy perplejo de ver como con la escusa de hacer algo bueno, la situacion se vuelve mucho peor de lo que estaba .Con la escusa de que los datos esten mas seguros, por tanto mayor seguridad para la gente, resulta que ahora tenemos mucha menos libertad de expresión. Esta ley es una mordaza. La seguridad a cambio de libertad nunca es un buen trato, NUNCA! Ahora hay que cuidarse de decir ciertas cosas por las represalias que pueda haber, no solo de la justicia, porque a traves del whois antes tambien te podian pillar si te pasabas, pero ahora si dices algo en contra de alguna iglesia, o de alguna ideologia, o de algun rey o gobernante, o de algun grupo específico, la justicia es lo de menos, si les molestas demasiado van a buscarte ellos las cosquillas, y esta ley se lo pone en bandeja, vuelves a casa y te encuentras dos matones en la puerta, y no sabes quien los ha mandado. Es increible!
De verdad no hay forma de evitar esto? Me estoy planteando migrar a la dark web, pero tampoco hago nada ilegal, solo que no entra en el espectro de lo que la mayoría llamaría politicamente correcto, claro.
Cumplir la ley es básicamente porque si pides datos a un usuario y tratas esos datos estas personas y el gobierno debe saber quién eres y qué haces con esos datos. Si no quieres dar tus datos entonces no puedes pedir datos. Es como si quieres montar una empresa y no quieres registrarla. Por eso los negocios ilegales no entran en esto. Te recomiendo que hables con la gente de Lexblogger. ¡Un saludo!
Me han resultado muy útil estos consejos, con la nueva normativa hay que estar bien actualizado y al día en todo sobre todo si llevas una empresa y quieres tenerlo todo controlado. Como bien dices si tienes una empresa y pides datos estos tienen que ser registrados y controlados y cumplir con la ley para que todo este normalizado y tus empleados y tu mismo protegido. Gracias por compartir. Un placer leerte. Un saludo!!!
¡Gracias Andrea!
Hola Borja, el post es pre RGPD y desde la LOPD hasta nueva regulación europea de plena aplicación desde mayo del 2018, muchas cosas han cambiado, por ejemplo, la declaración ficheros ha sido pulverizada con el RGPD, se aplican nuevos principios, como el el de responsabilidad activa, aparecen nuevos enfoques, como el de riesgo , nuevos derechos, como el de olvido, portabilidad y limitación y nuevas obligaciones, vinculadas a la transparencia y el consentimiento, se han ampliado los requisitos informativos, se establecen nuevas formas de presentar esa información al usuario, todo eso ha generado nuevos obligaciones a tener en cuenta a la hora de adaptar un blog que no aparecen en este post y que pueden generar confusiones a más de uno.
Aclarar que ya no hay que declarar ficheros y que ese término desaparece completamente en la nomenclatura RGPD que son reemplazados por “tratamientos”, Mejor actualizar o aclarar que este post responde a los requisitos de la antigua LOPD y no a la actual RGPd o la nueva LOPDGDD.
Un fuerte abrazo
¡Muchas gracias Marina por la aclaración!
Escribe un comentario