Ofrecemos el servicio de adaptación a la Ley de Protección de Datos de Carácter Personal (LOPD) y a la Ley De Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) a empresas, instituciones o emprendedores que realizan transacciones de comercio electrónico y sus tiendas online. Si necesitas un presupuesto puedes solicitarlo utilizando el siguiente formulario:
Todos los sitios web de comercio electrónico (como tiendas virtuales u online) recogen datos personales, información sobre transacciones, información sobre tráfico web basada en IPs y cookies, direcciones de correo electrónico para contacto comercial con los clientes y para actividades de marketing o correo directo (emailing). Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) establece un conjunto de obligaciones a los responsable de ficheros de datos personales, pero también hay otras disposiciones en España y Unión Europea a los que este tipo de sitios web se deben adaptar como la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE) que establece, entre otras cosas, las obligaciones de los prestadores de servicios online como Redacción del Aviso Legal y Redacción de Notas Legales Informativas; o la Ley 21/2011, de 26 de julio, de dinero electrónico.
I. Obligaciones de un sitio web de comercio electrónico relacionadas con la protección de datos:
Las principales obligaciones de un sitio web responsable de ficheros de datos personales según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) son:
Alta en el RGPD de la AEPD: Todo fichero de datos de carácter personal deberá ser notificado por su responsable a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
Calidad de los datos: los datos sólo se podrán recoger y tratar, cuando se hayan obtenido lícitamente, cuando sean adecuados, pertinentes y no excesivos, no pudiendo ser usados para finalidades incompatibles con aquellas para las que hubieran sido recabados. Deben ser exactos y puestos al día, debiendo ser cancelados cuando hayan dejado de ser necesarios.
Deber de información: Los interesados a los que se soliciten datos personales deberán ser previamente informados de la existencia de un fichero de datos personales, de su finalidad y de los destinatarios de la información. Se les deberá informar de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, así como de la identidad y dirección del responsable.
Consentimiento y comunicación de datos: El tratamiento de datos personales requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. Asimismo, y con carácter general, los datos sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el consentimiento previo del interesado.
Deber de secreto: el responsable del fichero y quienes intervengan en el tratamiento de los datos personales están obligados al secreto profesional respecto de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o responsable del fichero.
Seguridad: el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, y su tratamiento o acceso no autorizado.
Somos expertos en Diseminación y Explotación de proyectos científicos y tecnológicos y estamos frente a una oportunidad interesante. El Programa Horizonte 2020 de la Comisión Europea proporcionará financiación en todas las etapas del proceso de innovación, desde la investigación básica hasta que el producto llegue al mercado. Es decir, todo el ciclo de vida del proceso, finalizando con la comercialización. Lo interesante, es que este programa se complementará otras acciones que definirán el Espacio Europeo de Investigación en 2014 para crear un mercado único europeo en áreas del conocimiento, la investigación y la innovación en las que la diseminación y explotación de los resultados desempeñarán un papel fundamental.
Comercio Electrónico Global cuenta con una larga trayectoria y amplia y reconocida experiencia en la participación en proyectos españoles y comunitarios especializados en tecnologías de la información y comunicación (TIC) desde 1997. Nuestro equipo se ha centrado en acciones de planificación e implementación de Diseminación y Explotación (D&E) participando como coordinadores científicos y partner encargado de las actividades de diseminación y explotación en proyectos regionales (en Aragón), españoles (Ministerio de Industria), europeos (Comisión Europea) e internacionales (Naciones Unidas).
Podríamos ser Partner de su proyecto:
Ahora nos disponemos a focalizar nuestra actividad de D&E en proyectos del sector industrial, nanotecnologías, biotecnología, el espacio y en actividades innovadoras para las PYMES y emprendedores de la Unión Europea y buscamos proyectos interesantes para aportar nuestros conocimientos y experiencia.
Sectores en los que estaríamos interesados en participar:
Podemos ser su Partner centrado Diseminación y Explotación (D&E) para su proyecto europeo:
Si su organización (centro de investigación, compañía, universidad, gobierno, etc) tiene interés en invitarnos a participar como partner en un proyecto en el marco de la estrategia de Investigación e Innovación Europa 2020 puede ponerse en contacto mediante este formulario con un resumen ejecutivo del proyecto que incluya una breve definición del target group, así como el presupuesto orientativo para diseminación y explotación (D&E). Contestaremos lo antes posible y si ambos estamos de acuerdo, trabajaremos en la propuesta de trabajo (establecimiento de los objetivos, especificación de la masa crítica, estimación de actividades y timetable, enfoque, etc.)
En el campo de Diseminación y Explotación, Comercio Electrónico Global se centra en:
La Comisión Europea ha trabajado siempre, y nos consta, en todos los ámbitos posibles para el desarrollo y proyección del comercio electrónico dentro de los países miembros y en el espacio europeo. Ha establecido políticas que con mayor o menor acierto han permitido la difusión, adopción de innovación tecnológica, desarrollo de nuevos proyectos, fortalecimiento de la seguridad y confianza, solución de conflictos en el campo del comercio electrónico, y muchas áreas más. Ha reconocido siempre la máxima importancia de Internet para la competitividad de la economía europea pero ahora incomprensiblemente ha cambiado su rumbo posicionándose a favor de uno de los tantos actores del sector: el grupo European Alliance.
El comercio electrónico en la Unión Europea, tal como funciona en todo el mundo, se verá afectado por restricciones en términos de competencia, que podrían menoscabar los intereses de las tiendas online y de los consumidores, particularmente, respecto a precio final y servicios de post-venta de los productos sujetos al reglamentación comunitaria.
La Comisión ha decidido cambiar las políticas sobre competencia que rigen los "Acuerdos Verticales" entre fabricantes y distribuidores, lo cual ha desatado un grave conflicto entre las tiendas online (comercio electrónico B2C) como eBay o Amazon y los principales fabricantes de productos como LVH que fabrica marcas como Louis Vuitton y Moet & Chandon, Chanel o Richemont. Estos fabricante pretenden que se establezcan restricciones verticales que les permita controlar sus productos y marcas en toda la cadena de valor, particularmente el marketing y comercialización off-line y online.
Un antecedente claro de esta nueva política fue la exención individual que Yves Saint Laurent obtuvo (asunto COMP/F-1/36.533) por parte de la Comisión Europea para sus productos de lujo en el sector del perfume, maquillaje y productos de belleza. Mediante esta exención YSLP autorizó a los minoristas reconocidos que previamente explotaban un punto de venta físico a vender también sus productos por Internet. A cambio, YSLP impuso normas de calidad para la utilización del sitio Internet con fines de venta online de sus productos de lujo, tal como haría con un establecimiento dentro de su sistema de distribución selectiva. Pero impidió a cualquier otro comerciante de la Unión Europea a comercializar sus productos en internet.
El control de la imagen de marca es un elemento estratégico en la distribución de productos de lujo y es el principal argumento que esgrime European Alliance. La Comisión Europea va un poco más allá y respalda la demanda del lobby de que los distribuidores online tengan una o más tiendas físicas operativas y que sólo realicen actividades de comercio electrónico gozando de su autorización. En el nuevo entorno el comercio online de productos de lujo sin autorización podrá ser bloqueado por el fabricante.
Pero si son autorizados, los distribuidores son libres de vender a través de sus sitios de Internet de la misma manera que lo hacen en sus establecimientos y puntos de venta reales habituales. Es una medida de distribución selectiva, es decir, los productores no pueden limitar las cantidades vendidas en Internet ni aplicar precios más elevados a los productos que se van a vender en línea. No se permitirá la anulación de una transacción o el desvío de los consumidores hacia otros sitios por el hecho de que la tarjeta de crédito que se pretende utilizar esté asociada a una cuenta extranjera.
Las nuevas normas entrarán en vigor en junio y serán válidas hasta el año 2022, habiéndose previsto una fase de transición de un año.
Mas información:
En España, toda persona o entidad que proceda a la creación de ficheros de datos de caracter personal (por ejemplo, website de comercio electrónico con base de datos de clientes) debería notificarlo previamente a la Agencia Española de Protección de Datos (AGPD). Así mismo, es obligatorio comunicar las variaciones que se produzcan en la finalidad, en su responsable y en la dirección de su ubicación o cualquier otra circunstancia que implique alguna variación en la información anotada registralmente. La notificación se realiza mediante un formulario en formato papel o digital. En muchos casos se plantean dudas sobre Cómo se han de cumplimentar estos formularios.
Por cierto, Comercio Electrónico Global ofrece un servicio profesional de adaptación de sitios web informativos y transaccionales a la legislación de protección de datos, necesitas un presupuesto puedes solicitarlo utilizando el siguiente formulario: Solicitud de Presupuesto LOPD
La propia AGPD, ha publicado un extenso trabajo que se puede descargar en el portal de dicha agencia en el cual se realiza una evaluación de la Evolución del sistema de protección de datos. En una de las secciones, que aque transcribimos, se sintetizan algunas sitúaciones que han sido objeto de consulta por parte de los responsables de ficheros:
Dudas planteadas acerca de la notificación de ficheros con datos especialmente protegidos
Durante la Tramitación de algunos expedientes de inscripciión con datos de esta naturaleza y ante la posibilidad de que se hubieran producido ciertos errores al cumplimentar la notificación, se ha requerido a los responsables para que subsanasen el posible error o procedieran a efectuar las alegaciones que estimasen oportunas, al objeto de aclarar las circunstancias en las que se produce el tratamiento de este tipo de dato.
En la mayor parte de los casos, los responsables han subsanado sus declaraciones debido a que, efectivamente, se había producido un error al cumplimentar el apartado de Estructura básica y descripción de los tipos de datos de caracter personal incluidos en el fichero. No obstante, en algunos casos, han manifestado, en las alegaciones presentadas, el motivo que les ha llevado a recoger y tratar este tipo de datos.
En este mismo orden, cabe señalar las alegaciones presentadas por una entidad financiera que había considerado pertinente notificar datos de ideología, afiliación sindical, religión y salud en un tratamiento cuya finalidad era tramitar los adeudos por domiciliaciones, de forma separada del tratamiento genérico de clientes.
Esta decisión fue tomada, entre otras razones, porque determinados adeudos por domiciliaciones llevan incorporados datos que podrían considerarse especialmente protegidos, en función de la identidad del emisor (por ejemplo, un sindicato, una Asociación de enfermos, un instituto religioso o un partido político) o del concepto que venga indicado en el soporte magnético (cuota de afiliado o de asociado). Pues bien, es criterio de la Agencia que estos tipos de datos especialmente protegidos deben ser incluidos en el subapartado Datos especialmente protegidos en el apartado Estructura básica y descripción de los tipos de datos de caracter personal incluidos en el fichero de la notificación del fichero.
En el mismo sentido, aunque en este caso más habitual, se notifican datos de ideología, religión o creencias en tratamientos relacionados con los asuntos tramitados por los asesores fiscales, consignando en las notificaciones estos tipos de datos especialmente protegidos, dentro del marco global del asesoramiento a clientes o confección de declaraciones del Impuesto de la Renta de las Personas físicas.
La Ley de Presupuestos Generales del Estado, establece el sistema de asignación tributaria a la Iglesia Católica. En su virtud, el Estado destina al sostenimiento de la Iglesia Católica el 0.5239 por 100 de la cuota íntegra del Impuesto sobre la Renta de la Personas Físicas correspondiente a los contribuyentes que manifiesten expresamente su voluntad en tal sentido, pudiendo optar, también, por destinar dicho porcentaje a fines sociales (Organizaciones no Gubernamentales de Acción Social y de Cooperación al Desarrollo para la realización de programas sociales).
Si bien, por una parte, resulta evidente que al cumplimentar las declaraciones del IRPF queda reflejada en soportes informáticos la opción sobre el destino de la asignación tributaria, y en este sentido hay opiniones que afirman que, efectivamente, se están tratando datos especialmente protegidos, también hay opiniones en el sentido contrario, es decir que sostienen que resulta excesivo establecer que una opción de asignación tributaria indica las creencias de un determinado individuo. El criterio de la Agencia, al respecto, es que el tratamiento de esta circunstancia y su almacenamiento en un soporte supone un tratamiento de datos especialmente protegidos y los mismos deben ser notificados en el subapartado Datos especialmente protegidos.
Por otra parte, en algunas notificaciones se ponen de manifiesto errores al cumplimentar el apartado de Estructura básica y descripción de los tipos de datos de caracter personal incluidos en el fichero / otros datos especialmente protegidos, dado que señalan la casilla correspondiente a Origen racial o étnico, cuando, en realidad, se están recabando datos relativos a la nacionalidad.
En otras ocasiones, al tramitar los expedientes de inscripciión, se observa que, del contenido de la declaración, se pudiera deducir que el tratamiento declarado debiera incluir datos especialmente protegidos que no se han consignado en la notificación. Ante esta situación, y ante la posibilidad de que se hubiese cometido un error, se requiere al responsable del tratamiento para que subsane o realice las alegaciones que estime pertinentes.
Dentro de este caso se encuentran las declaraciones en las que se había señalado en el Apartado de Responsable del fichero o tratamiento, como Código de actividad principal de la entidad responsable del fichero, actividades políticas, sindicales y religiosas y, sin embargo, no se había señalado que se recabaran datos especialmente protegidos relacionados con sus miembros o socios.
Con el fin de advertir del posible error, se informó al responsable de que el Código de actividad tipificado como actividades políticas, sindicales y religiosas, únicamente deb?a ser señalado cuando los asociados o miembros pertenezcan a un partido político, sindicato, entidad religiosa o una Asociación o Fundación cuyos fines sean políticos, sindicales o religiosos. Para los casos en los que el responsable no estuviera incluido en este tipo de actividad exist?a un Código de actividad principal, tipificado como Actividades asociativas diversas.
No obstante, si la entidad responsable del fichero estuviera constituida como una Asociación, y los estatutos de dicha Asociación establecieran la necesidad de que sus miembros o asociados pertenecieran a una determinada religión o ideología, se entiende que ese tratamiento sí podrá revelar la ideología, creencias o religión y, por lo tanto, será necesario que se cumplimente el apartado de Estructura básica y descripción de los tipos de datos de caracter personal incluidos en el fichero / Datos especialmente protegidos.
Otras sitúaciones en las que se producen dudas, en relación con los datos especialmente protegidos, son las referentes a los casos en los que se tienen previsto realizar transferencias internacionales a entidades establecidas en países que no ofrecían un nivel de protección adecuado. En ellas se ha exigido que en la cláusula, mediante la que se solicitaba el consentimiento inequevoco a la transferencia, se incluya el consentimiento expreso exigido en el tratamiento de datos especialmente protegidos, de conformidad con el artículo 7 de la LOPD, de manera que dicho consentimiento incluyera una mención expresa de que se tenía previsto transferir este tipo de datos.
Dudas sobre la cumplimentacion del apartado de Responsable del fichero o tratamiento?
Se ha planteado, con bastante frecuencia a la hora de cumplimentar el modelo de notificación, una duda que ha consistido en que el solicitante cumplimenta el apartado de Responsable del fichero con los datos correspondientes al empleado o directivo que tiene la responsabilidad funcional del área relacionada con los datos y finalidades que se incluyen en el fichero.
Los criterios que se deberían tener en cuenta para determinar la identidad del responsable del fichero, son los que establece la LOPD, en el apartado d) del artículo 3 en el que se considera responsable del fichero o tratamiento ela persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del fichero o tratamiento?.
Así mismo, el artículo 5 de la citada Ley, que regula el derecho de información en la recogida de datos, establece que los interesados a los que se soliciten datos personales deberían ser previamente informados de modo expreso, preciso e inequevoco, entre otros extremos, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
A su vez, podrán crearse ficheros de titularidad privada, que contengan datos de caracter personal, cuando resulten necesarios para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular, de conformidad con lo establecido en el artículo 25 de la Ley 15/1999.
Por lo tanto, para determinar la identidad del responsable del fichero se debería tener en cuenta lo establecido en los artículos 3 d), 5.1 y 25 de la LOPD. En todo caso, los datos identificativos que figuran en la cláusula, mediante la que se cumple con el derecho de información en la recogida de los datos a que se refiere el citado artículo 5, serán los que deban figurar, a los efectos de inscripciión en el RGPD, en el apartado de Responsable del fichero o tratamiento.
En otras ocasiones, han surgido dudas al figurar como responsable del fichero entidades, servicios o centros de servicios sociales, cuya actividad correspondía a una Asociación de interés social.
Durante la Tramitación de estos expedientes se ha tratado de clarificar si estas entidades eran responsables del tratamiento o si estaban realizando una prestación de servicios por cuenta de organismos públicos con competencias en materia de servicios sociales dentro de los servicios sociales especializados, como, por ejemplo, la atención social a las personas mayores, a los discapacitados, a los drogodependientes, a las personas con riesgo o situación de exclusión social, etc.
Aunque la normativa dictada por las Comunidades Autónomas en materia de servicios sociales es muy amplia, estas normas reglamentan y establecen los criterios que deben cumplir las entidades, servicios y centros públicos y privados, con o sin ánimo de lucro, que presten servicios sociales.
Si bien la responsabilidad pública de promover y garantizar la prestación de servicios sociales recae sobre los órganos competentes de la Comunidades Autónomas, no obstante las entidades que prestan estos servicios podrían ser responsables de los tratamientos que fueran necesarios para gestionar los mismos.
Dudas sobre la cumplimentación de la Hoja de solicitud
Cuando el responsable del fichero notifica una inscripciión al RGPD, debe hacer constar los datos relativos a la persona física que actúa como declarante y la dirección a efectos de notificación, en la hoja de solicitud que forma parte del modelo de notificación.
En determinadas ocasiones si la persona que en su día firmó la solicitud ha cesado en su cargo, se solicita la modificación de los datos que figuran inscritos para que consten los datos identificativos de la persona que tiene la representación de la entidad en la actualidad.
Es necesario tener en cuenta que los datos relativos a la persona física que actúa como declarante de la notificación no forman parte registral de la inscripciión del fichero. Sus datos identificativos únicamente se tratan a los efectos previstos en los procedimientos administrativos que sean necesarios para la Tramitación de las correspondientes inscripciones de las notificaciones presentadas, por lo que no procede notificar este tipo de cambio.
Dudas acerca de si cualquier tratamiento de datos en el que está involucrada una entidad o persona establecida fuera del territorio español es una transferencia internacional de datos
En algunos tratamientos de datos relacionados con la gestión de la cartera de clientes que tienen su domicilio fuera del territorio español, el responsable del fichero ha entendido que realizaba una transferencia internacional de datos, puesto que emite las facturas a la dirección del cliente, y esta se encuentra fuera del territorio español.
En un principio, cabe entender que no se está produciendo una transferencia internacional ni tampoco una cesión de datos, puesto que por tal se considera toda revelacion de datos a un tercero distinto del afectado o el responsable, por lo que, en este caso, la comunicación de los datos al propio afectado no constituye una cesión de datos.
No obstante, lo señalado en el párrafo anterior, sí se producen flujos internacionales de datos en las transferencias bancarias para la gestión de cobros y pagos de clientes cuyo domicilio se encuentra fuera del territorio español. En estos casos, son las entidades financieras, a las que las leyes reconocen como prestadoras servicios bancarios, las que realizan estas transferencias y, por lo tanto, deberían constar en los ficheros de su titularidad estas transferencias internacionales. A tal fin, se señalará, en el apartado de Transferencias internacionales, como destinatarios de las transferencias las Entidades financieras internacionales (bancos y cajas para ejecución de cobros y pagos)?, amparadas en lo dispuesto en el apartado d) del artículo 34 de la LOPD que exceptúa de la norma general las transferencias dinerarias realizadas conforme a su legislación específica.
Dudas acerca de la cumplimentación del apartado Encargado de tratamiento?
En el apartado de Encargado del tratamiento es preciso resaltar dos sitúaciones. Una de ellas, se produce en aquellos casos en los que se quiere notificar la existencia de más de un encargado, ya que el modelo de notificación únicamente contempla la posibilidad de notificar un solo encargado. La segunda, se produce cuando no se puede distinguir si se trata de una prestación de servicios, en los términos previstos en el artículo 12 de la Ley o de una cesión de datos.
En primer lugar, es necesario tener en cuenta que el apartado de Encargado de tratamiento no es de notificación obligatoria, por lo que, a los efectos de inscripciión, no es necesario cumplimentar todos los encargados que traten datos de caracter personal por cuenta del responsable. Con caracter general, se ha informado a los responsables que, si bien este tratamiento por cuenta de terceros debería estar regulado en un contrato que debería constar por escrito en los términos del artículo 12 de la Ley, a los efectos de inscripciión, únicamente se consignarán en dicho apartado los datos de uno de los encargados del tratamiento.
Se recomienda que se haga constar la denominación del encargado que realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo, o riesgos mayores Según el tipo y la cantidad de datos tratados.
No obstante, en alguna ocasión, se ha puesto de manifiesto que se notificaban distintas finalidades (clientes, recursos humanos, gestión bancaria, etc.) en una misma declaración, y que el responsable pretendía con una única declaración notificar conjuntamente los encargados de tratamiento correspondientes a todas estas finalidades. En estos casos, se debe realizar una notificación por cada uno de los distintos tratamientos o usos del fichero, teniendo en cuenta la diversidad de colectivos de afectados, de esta manera se pueden incluir en cada notificación los datos de un prestador de servicios.
También hay que mencionar los casos en los que se pretende cumplimentar el apartado de Encargado del tratamiento, haciendo constar las denominaciones de las entidades que, en realidad, son destinatarios de cesiones de datos, en vez de prestadores de servicios por cuenta del responsable del fichero.
En este sentido, es necesario determinar si la transmisión de datos constituye una cesión de datos o si, por el contrario, dicha Transmisión supone la realización de un tratamiento por cuenta del responsable del fichero, de acuerdo con las previsiones del artículo 12 de la Ley.
En el caso de que los datos se destinen, no para la simple realización de actividades de tratamiento por cuenta del responsable (artículo 12 de la Ley), sino para incorporar la información a los ficheros de la entidad destinataria, su Transmisión será constitutiva de una cesión de los mismos, de conformidad con el artículo 3 i) de la LOPD, cuando la define como toda revelación de datos realizada a una persona distinta del interesado.
En este caso de cesión, se debería cumplimentar el apartado de cesión o comunicación de datos, indicando los destinatarios de las mismas o, en el caso de que exista un número indeterminado de ellos, las reglas que permitan su identificación, de acuerdo con las instrucciones del modelo de notificación, y no se debería cumplimentar en el apartado de encargado del tratamiento.
Dudas relacionadas con la cumplimentación del apartado ?Procedencia y procedimiento de recogida de los datos
Por su relevancia merecen ser señalados los tratamientos relacionados con los datos de caracter personal de menores de edad. Como ejemplo, se puede citar la situación que se produce cuando los familiares para hacer un regalo (abuelos, tíos, etc.) contratan con empresas que se dedican a esta actividad, incluyendo una foto del menor para su Publicación en Internet.
El responsable del fichero había notificado que los datos procedían de Otras personas distintas del interesado o su representante legal, sin embargo, se informó al responsable de que, en tales supuestos, es preceptivo, antes de publicar en Internet la foto y los datos de un menor de edad, que se recabe el consentimiento de los representantes legales del menor.
Fuente: Agencia de Protección de Datos - AGPD -, 2003. La Protección de Datos de Caracter Personal en España: Análisis y Valoración. España.