Hoy en día son muchas las empresas que se lanzan al mundo abriendo una tienda online, y somos cada vez más los usuarios que con más o menos confianza compramos a través de internet. Por ello además de las obligaciones legalmente establecidas que existan, proporcionar una información, clara, precisa y sencilla reforzará la imagen de nuestra empresa ante nuestros potenciales clientes.

El art. 10 f) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que establece “Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío”.

La obligación de facilitar esta información se dará por cumplida si el prestador la incluye en su página o sitio de Internet, es decir, que se podrá incluir en el aviso legal.

Asimismo, debemos tener presente lo establecido en RD Legislativo 1/2007 para la Defensa de los Consumidores y Usuarios (LGDCU) en especial el “TÍTULO III Contratos celebrados a distancia y contratos celebrados fuera del establecimiento mercantil”, para ello destacamos algunos de los extremos que se deben incorporar en el aviso legal:

Como no podía ser de otra forma desde la aprobación definitiva por el Parlamento Europeo el pasado 14 de Abril, el Reglamento General de Protección de Datos (RGPD) es noticia.

Ahora toca estudiar una norma única para todos los Estados Miembros de la Unión Europea. Aun así, y a pesar de lo afirmado deberemos estar bien atentos a nuestra Agencia Española de Protección de Datos, puesto que deberá pronunciarse respecto de muchos aspectos que el Reglamento “delega” a interpretación propia por cada Estado Miembro.

Aunque tenemos tiempo, pues tal y como establece artículo 99 del RGPD, el Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea, (previsiblemente finales de Junio) y será aplicable a partir de los dos años desede la fecha de entrada en vigor del mismo (primavera 2018), conviene ir conociéndolo para llegado el momento estar preparados.

En Prodat y en este mismo blog iremos analizando, interpretando y desgranando poco a poco lo establecido en los diferentes considerandos y artículos del mismo.

Hoy os dejamos una interesante Infografía que aparece publicada en la web del Consejo de la Unión Europea.

Si la semana pasada hablábamos de la información que de forma obligatoria, clara y sencilla debe contener una página web, hoy comentaremos algunos aspectos que, en determinados casos y dependiendo del tipo de web del que seamos titulares, sería recomendable que se incorporaran, nos referimos a lo que podríamos llamar las condiciones de uso.

Estas reglas o condiciones de uso, se podrían llegar a entender como un acuerdo entre partes, es decir entre usuario y titular de la web, advirtiendo al primero de los usos permitidos respecto de la información, contenidos y servicios que ponemos a su disposición en la web.

A modo de ejemplo, indicamos el posible contenido de las condiciones de uso:

1. Condiciones de acceso, dependiendo del tipo de web o plataforma (blog, foro etcétera) del que seamos titulares, se podrían incluir estipulaciones del tipo:

a. No utilizar la web para la realización de actividades contrarias a la ley, a la moral, al orden público.

b. No manipular o alterar cualquier contenido de la web sin el consentimiento expreso y por escrito de su titular.

c. No reproducir, copiar, distribuir, comunicar públicamente, transformar o modificar los contenidos, eludir o manipular el Copyright y demás datos identificativos de los derechos del titular de la web.

2. Responsabilidades ante caídas de los servicios, mal funcionamiento de la web o virus. Está claro que no somos inmunes a todo lo que se mueve en la red, por ello no estaría de más avisar a nuestros usuarios web de que por ejemplo:

Hoy en día a la pregunta ¿tienes página web?, la respuesta va a ser, casi siempre, un rotundo sí, pero si a continuación preguntamos ¿y cumples con la normativa vigente al respecto?, seguramente nos encontremos con respuestas diferentes.

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), establece el régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica.

¿Qué es un servicio de la sociedad?

Tal y como lo define la propia LSSI es todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.
La ley dice servicio prestado “normalmente a título oneroso” pero también comprende los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

Deberá incluirse por tanto, en el ámbito de aplicación de la ley, toda web que contenga publicidad así como cualquier web corporativa, pues se trata de una actividad relacionada con propia actividad económica del prestador.

Podríamos dejar fuera aquellos casos de páginas web personales, es decir, que no se refiera a la actividad profesional del titular y no tenga publicidad alguna.

Una vez determinado que la LSSI nos aplica, pasamos a analizar qué obligaciones debemos cumplir, para ello diferenciaremos entre:

Hace escasos unos días el Tribunal Supremo (Sala de lo Contencioso Administrativo), determinó que: “el responsable del tratamiento de datos realizado en Google Search no es la filial Google Spain su matriz Google Inc”. Esta afirmación echa por tierra el criterio, hasta ahora seguido, de la corresponsabilidad por parte de Google Spain SL, en razón de la unidad de negocio que conforman ambas sociedades.

El TS así lo ha considerado, y ha fundamentado su decisión indicando que si bien es cierto en la Directiva 95/46/CE y en la LOPD se contempla la posibilidad de corresponsabilidad en el tratamiento de los datos, cuando emplean los términos “(...) sólo o conjuntamente con otros (...) puntualiza la Sala que ello supone una coparticipación de los fines y los medios del tratamiento de datos personales que es lo que caracteriza la condición de responsable, es decir, que en su opinión no valdría cualquier otro auxilio o colaboración que no tenga tal naturaleza, y añade un: “como puede ser el caso aquí contemplado”. El TS entiende que la actividad de promoción de productos o servicios publicitarios que realiza Google Spain en beneficio del responsable Google Inc, es una actividad ajena a la determinación de los fines y medios del tratamiento. Por tanto es la sociedad que gestiona el motor de búsqueda la que asume la responsabilidad del tratamiento de datos, con las obligaciones que de ello se deriva en orden al efectivo cumplimiento de la normativa.

Terminábamos nuestro último post indicando que independientemente de la decisión final que tome una entidad al respecto de llevar a cabo la auditoría bienal obligatoria de forma interna o externa, conviene definir y aclarar en qué consiste y de qué se compone la auditoría en protección de datos, afianzando de este modo las declaraciones que hacia la AEPD al respecto:

Párrafo 2 del artículo 96 del RDLOPD 1720/2007 –

"El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas".

De este apartado podemos desgranar en al menos dos fases:

Pocas semanas atrás, la Agencia Española de Protección de Datos emitía una nota de prensa en la que declaraba haber tenido conocimiento de que diferentes entidades estaban ofreciendo servicios para realizar auditorías de medidas de seguridad por teléfono. Como es lógico, la AEPD aclaró que una auditoría telefónica de medidas de seguridad no permite obtener los resultados establecidos en la normativa de protección de datos.

Entonces, ¿En qué consiste realmente una auditoría de medidas de seguridad?

Para responder a esta pregunta recurriremos a lo establecido en el Artículo 96 del RDLOPD 1720/2007:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título (...).

Es decir, esta medida de seguridad será de obligado cumplimiento en el momento que la empresa trate datos de nivel medio y alto claro, ya que las medidas de seguridad son de aplicación acumulativa.

El pasado lunes 29 de febrero la Comisión Europea hacía público el borrador del nuevo acuerdo que sustituirá al derogado Safe Harbor, el ya famoso Privacy Shield.

Asimismo, se han dado a conocer los compromisos que el Gobierno de los Estados Unidos ha realizado sobre la aplicación del nuevo acuerdo, garantizando y estableciendo límites al acceso a los datos por las autoridades nacionales de seguridad, asegurando que no habrá vigilancia indiscriminada.

El objetivo principal del Privacy Shield será garantizar a los ciudadanos de la UE los mismos derechos de protección respecto de sus datos de carácter personal cuando sean tratados por entidades norteamericanas. En el caso de que estos derechos no estén garantizados, los datos no saldrán de la Unión Europea.

En el nuevo acuerdo se recogerán también los requisitos establecidos por el Tribunal de Justicia en la sentencia de 6 de octubre de 2015.

Los principales pilares del Privacy Shield serán:

El 15 de Febrero está previsto que la nueva plataforma europea de resolución online de conflictos en e-commerce esté funcionando plenamente.

¿Cómo nos afecta esta nueva forma de resolución de conflictos?

Tal y como se indica en el Reglamento 524/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, sobre resolución de litigios en línea en materia de consumo, el objetivo es: "contribuir, a través de la consecución de un elevado nivel de protección del consumidor, al correcto funcionamiento del mercado interior, en particular de su dimensión digital, proporcionando una plataforma europea de resolución de litigios en línea que facilite la resolución extrajudicial de litigios entre consumidores y comerciantes de forma independiente, imparcial, transparente, eficaz y equitativa".

Para ello la comisión ha creado una plataforma de resolución extrajudicial de conflictos online: http://ec.europa.eu/consumers/odr/ que estará disponible para todos (consumidores y comerciantes).

¿Cuál es el procedimiento a seguir?.

Terminábamos el anterior artículo indicando que resultado de los indicado en en artículo 2.5 LO 1996 de protección jurídica del menor,  el interés superior del menor, en respecto a la mayor protección tanto física como psicológica de los menores a través desistemas de vigilancia, debía prevalecer permitiendo así la implantación de tales sistemas.

Pero a pesar de esta afirmación, la AEPD considera que deberán adoptarse unas especiales cautelas, de forma que se minimicen los riesgos que pueden concurrir para la protección de datos:

1. Únicamente se permite la captación y reproducción de las imágenes estrictamente necesarias para el cumplimiento de los fines propuestos.

2. En ningún caso podrán captar la vía pública.

3. No se podrán captar lugares donde no se encuentren menores, por no servir a la finalidad prevista.

4. Deberán existir estrictas medidas en cuanto al acceso a las imágenes, tanto en el visionado inicial como en los posibles accesos a las grabaciones.

5. Las pantallas de visionado no podrán estar en lugares de acceso general, sino en lugares donde sólo puedan acceder quienes puedan ver las imágenes.

6. Únicamente se permitirá tanto su visionado inicial como el acceso ulterior a las imágenes grabadas al director del centro, o a la persona responsable que tenga a su cargo la gestión de los recursos humanos, o la persona específicamente designada por el centro.

Página 6 de 11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal