7. Legislación

La unidad está dedicada a conocer dos aspectos de las normas regulativas:

• El que ampara el derecho a la privacidad de los datos de carácter personal.

• El que regula las actividades comerciales a través de Internet.

7.1. Protección de datos

En España el derecho a preservar la intimidad personal está garantizado por el artículo 18 de la Constitución, en cuyo párrafo cuarto cita expresamente el uso ilimitado de la informática como posible agente que socave tal intimidad.

Bajo este amparo se promulgaron dos leyes orgánicas en España:

• La Ley Orgánica 5/1992, conocida como LORTAD, que previó con mucha clarividencia las posibilidades futuras de la informática sobre el tratamiento de los datos y sus peligros sobre la privacidad.

• La Ley Orgánica 15/1999, conocida como LOPD, que sustituyó a la anterior y traspuso la Directiva 95/46/CE.

Ambas, no obstante, están ya derogadas desde 2018, año en que entró en vigor la Ley Orgánica 3/2018, conocida como LOPDGDD, y aún más por el nombre del reglamento europeo que transpone, el RGPD (Reglamento 2016/679). Este, pues, es la normativa actualmente en vigor en España y que armoniza las normas sobre tratamiento de datos personales en toda la Unión Europea.

7.1.1. Objeto

La finalidad de la normativa, aplicable a toda empresa con sede en la Unión Europea o que recopile datos de ciudadanos de la Unión Europea, es proteger la intimidad, privacidad e integridad de las personas. Para ello regula cómo deben tratarse los datos personales y cómo debe llevarse a cabo cualquier transferencia de este tipo de datos para que el intercambio sea seguro.

A estos efectos se considera dato personal cualquier información de texto o binaria, imagen o sonido que permita la identificación de una persona. No obstante, la ley distingue unas categorías especiales que están especialmente protegidas y para cuyo tratamiento:

• no basta con obtener el consentimiento del propietario, sino que es necesario que se cumplan una serie de requisitos,

• se pueden establecer por reglamentación adicional requisitos adicionales de seguridad y confidencialidad.

Estos datos especialmente sensibles son:

• Origen racial o étnico.

• La ideología política.

• La afiliación sindical.

• Las creencias religiosas.

• La orientación sexual.

• Los datos relativos a la salud.

• Los datos genéticos o biométricos que identifiquen inequívocamente al individuo.

El RGPD define también otros dos conceptos que es conveniente tener presentes:

Tratamiento (de datos personales)

Que es cualquier operación sobre un conjunto de datos sea esta automatizada o no. Es importante este último matiz, porque implica que la ley es aplicable incluso cuando no medie la informática en el tratamiento.

Fichero (de datos personales)

Que es cualquier conjunto estructurado de datos personales accesible bajo determinados criterios. Es importante, pues, notar que este concepto es bastante más amplio que el de archivo o fichero informático. Así pues, una mera agenda manuscrita que incluya teléfonos y direcciones cumple con la definición.

7.1.2. Figuras participantes

En el tratamiento de datos personales participan las siguientes figuras:

• Propietario de los datos personales al que en muchas ocasiones referiremos como cedente, ya que es el que cede sus datos personales para su tratamiento.

• Responsable del tratamiento, que es la empresa y organización a la que el propietario cede sus datos.

• Encargado del tratamiento, que es un tercero al que la empresa se ve en la necesidad de ceder los datos personales por algún motivo como puede ser un servicio. Un ejemplo muy típico de encargado es la gestoría externa que lleva las nóminas de los trabajadores de una empresa.

• Delegado de protección de datos (DPD), que es la persona encargada de supervisar el cumplimiento de la normativa de protección de datos, asesorar al responsable sobre todos los aspectos relacionados con ella y actuar de intermediario en caso de inspección de la AEPD. Esta figura no es obligatoria en todos los casos.

• Agencia española de protección de datos (AEPD), fundada en 1992 a raíz de la LORTAD, que es un organismo público independiente encargado de velar por el cumplimiento de la normativa relativa a la protección de datos y que tiene la potestad de actuar de oficio e imponer sanciones. En concreto, sus funciones son:

  • Atender reclamaciones.

  • Informar a los propietarios de sus derechos y a los responsables y encargados de sus obligaciones.

  • Elaborar normativa.

  • Cerciorarse de que los responsables y encargados cumplen la normativa.

  • Requerir medidas correctoras a responsables y encargados.

  • Representar a España en foros internacionales.

7.1.3. Derechos del cedente

La protección del derecho a la intimidad, la privacidad y la integridad se articula en el reconocimiento de una serie de derechos conocidos como derechos ARCO:

Acceso

Obtener información de sus propios datos.

Rectificación

Tener la posibilidad de modificar sus datos.

Cancelación

Suprimir los datos que se estime oportunos, lo cual incluye a su vez el derecho de supresión, esto es, el derecho a revocar nuestro consentimiento; y el derecho al olvido, esto es, el derecho a que tales datos no sean localizables en Internet[1].

Oposición

Oponerse a que sus datos sean tratados en diversos supuestos (p.e. porque no haya dado consentimiento para ello).

A estos cuatro, cuyas iniciales dan nombre (ARCO) a la familia de derechos y que ya refería la LOPD, el RGPD añade otros dos derechos más:

Limitación

Limitar el tratamiento de los datos personales a unos supuestos concretos. Esta limitación puede invocarse en determinadas circunstancias como, por ejemplo, cuando los datos no puedan borrarse por motivos jurídicos.

Imaginemos que tenemos cuenta bancaria en un banco y decidimos traspasar todo nuestro saldo y cerrar la cuenta. En este caso, en principio, al acabarse nuestra relación contractual con el banco, tendríamos derecho a que el banco suprimiera por completo nuestros datos. Sin embargo, esto legalmente no es posible porque la Agencia Tributaria puede requerir esa información bancaria. En este caso, los datos no se eliminan, pero actúa el derecho de limitación.

Portabilidad

Permitir la transmisión automatizada de los datos personales al propio propietario o a otro responsable del tratamiento. Este derecho facilita al interesado poder cambiar de prestador de un servicio fácilmente (p.e. un servicio de telefonía).

Ver también

Este artículo explica prolijamente los derechos ARCO.

7.1.4. Obligaciones del cesionario

La ley establece para las empresas u organizaciones que recaban información personal se comprometen a cumplir una serie de obligaciones:

Información

Se debe informar por escrito al cliente antes de que este haya efectuado el consentimiento de:

• Quiénes somos.

• Por qué y para qué se solicitan los datos.

• Quién podrá acceder a ellos.

• Plazo durante el que se conservan.

• Si se transferirán a otros países.

• Qué derechos asisten al cedente (derechos ARCO).

Nota

Por esta razón en todos los formularios que requieren algún dato personal se incluye enlaces al «aviso legal» y la «política de privacidad» y se obliga al usuario a confirmar que los ha leído antes de poder enviar los datos de formulario.

Consentimiento explícito

Es preciso obtener del cedente un consentimiento que debe ser libre, informado, específico e inequívoco. No hay posibilidad, pues, de un consentimiento tácito como existía anteriormente. Por ejemplo, en una página de registro en la que el usuario debía rellenar algún formulario que incluyera información personal, se daba por supuesto que este entendía que había cedido el dato. Esto ya no es posible y el consentimiento siempre debe ser explícito.

El consentimiento no implica sólo que el cliente acepte que se recaben sus datos, sino también que acepte con qué finalidad se recaban. Es más, si la finalidad es múltiple, se deben obtener consentimientos para cada una de ellas y, además, el consentimiento debe ser activo, esto es, no puede haber casillas premarcadas.

Nota

En caso de menores de 14 años, se exige además el consentimiento paterno o de los tutores legales.

Confidencialidad

La empresa u organización debe garantizar la estricta confidencialidad de los datos personales que se le han cedido por lo que se le exige:

• Evitar el acceso a personal no autorizado.

• Firmar contratos de confidencialidad con aquellos que tengan acceso:

  • Trabajadores propios.

  • Terceros que nos prestan un servicio (p.e. una gestoría o una empresa de mantenimiento informático). Estos terceros a su vez también deberán cumplir con el RGPD.

Análisis de riesgos y evaluación de impacto

A diferencia de la LOPD que establecía tres niveles de seguridad en función del carácter de los datos y, dependiendo del nivel, se requerían las contramedidas de seguridad pertinentes; el RGPD exige realizar un análisis de riesgos y, a partir del riesgo, definir las medidas técnicas y organizativas apropiadas.

Además, en caso de que el tratamiento de los datos suponga un riesgo alto para los derechos y las libertades del cedente, también debe realizarse una evaluación del impacto:

• Datos de personas vulnerables, como menores de edad.

• Datos sensibles.

• Elaboración de perfiles de comportamiento.

• Uso de tecnologías como los controles biométricos.

Notificación de brechas de seguridad

Las empresas se obligan a informar a la AEPD en un plazo máximo de 72 horas de brechas de seguridad que hayan podido comprometer los datos personales de sus clientes.

Registro

A diferencia de lo que ocurría con la antigua LOPD ya no es necesario registrar los ficheros ante la AEPD. Sin embargo, es necesario llevar un registro interno denominado registro de actividades donde se incluyan los tipos de datos que se recogen, con qué finalidad, dónde se guardan, si se ceden a terceros y qué medios se utilizan para tratarlos. El registro debe estar actualizado, por si es requerido en una inspección de la AEPD.

7.1.5. Régimen sancionador

El incumplimiento de la normativa de protección de datos conlleva unas multas cuya cuantía depende de la gravedad de la infracción:

Infracciones muy graves

Son aquellas derivadas de una vulneración sustancial del tratamiento:

• Uso para una finalidad distinta a la consentida.

• La falta de información acerca del tratamiento.

• La vulneración de la confidencialidad.

• La negativa o la exigencia de pago para que el cedente pueda ejercer los derechos ARCO.

• La transferencia internacional de los datos a un tercero que no ofrezca garantías.

• No facilitar la investigación de la AEPD.

Infracciones graves

Son aquellas derivadas de una vulneración sustancial del tratamiento:

• El tratamiento de datos de un menor de edad sin el consentimiento verificable de éste o, en su caso, de su tutor legal.

• La negativa para que el cedente pueda ejercer los derechos ARCO, en casos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de tales derechos haya facilitado información adicional que permita su identificación.

• La falta de adopción de medidas técnicas y organizativas para que se garantice un nivel de seguridad adecuado y que el tratamiento sólo se realizará para la finalidad pactada

• La contratación por parte del responsable de un encargado que no ofrezca garantías o bien sin la formalización de un contrato que se ajuste a la norma.

• La contratación de otro encargado por parte de un encargado sin informar al responsable.

• Ante una violación de la seguridad, la falta de notificación del responsable a la AEPD, o bien, del encargado al responsable.

• No disponer del registro de actividades.

• Cuando sea exigible, llevar a cabo el tratamiento sin la valoración del impacto.

• Cuando sea exigible, no designar un DPD.

Infracciones leves

Son infracciones de carácter meramente formal:

• No ser absolutamente transparente con la información proporcionada.

• La exigencia de pago para que el interesado pueda ejercer sus derechos ARCO que exceda el coste de la actuación.

• No suprimir los datos de personas fallecidas.

• Que el registro de actividades no incluya toda la información exigible.

• La notificación incompleta de una violación a la seguridad.

• No comunicar los datos del DPD.

La ley no establece unas cuantías exactas para las infracciones, pero estas pueden infinitamente más altas que la máxima de 600.000 euros que fijaba la antigua LOPD.

Ver también

Visite este vídeo sobre las multas que trae la Ley Orgánica 3/2018.

7.2. Comercio electrónico

Internet se ha convertido, entre otras muchas cosas, en un inmenso mercado comercial en el que se intercambian productos y servicios. La LSSI (Ley 34/2002) se creó con el objeto de regular las actividades económicas realizadas a través de internet ya sea a través de tiendas web online, redes sociales o correo electrónico. No cubre, sin embargo, los servicios audiovisuales ofrecidos a través de Internet para los cuales existe la LGCA[2].

Se redactó con el propósito de incentivar el comercio electrónico y la libre competencia en él, mientras se le dotaba de un marco legal al que pudieran atenerse tanto los prestatarios del servicio como los clientes.

7.2.1. Alcance

La LSSI afecta a cualquier persona física o jurídica que lleve a cabo alguna actividad económica a través de internet tanto de forma directa (la venta de un producto o la prestación de un servicio) como indirecta (publicidad), siempre que la gestión del negocio se realice desde España, posea alguna sucursal dentro del territorio nacional o la mayor parte de sus operaciones se realicen en España.

7.2.2. Obligaciones

El cumplimiento de LSSI supone para el prestador la asunción de una serie de obligaciones:

Información

El prestador incurre en la obligación de informar sobre:

• sí mismo para lo cual debe facilitar al menos:

  • Identificación.

  • Según el caso, NIF o CIF.

  • Dirección postal.

  • Dirección de correo electrónico.

  • Teléfono.

  Esta es la información que suele incluirse en secciones cómo «Quiénes somos», «Sobre nosotros» y leyendas por el estilo.

• las condiciones del servicio a través de textos informativos como el Aviso legal, la Política de privacidad o la Política de cookies.

• el producto, lo cual implica información sobre su precio o sus características.

• las condiciones de contratación que incluyen los métodos de pago admitidos o la política sobre devoluciones.

Ver también

Échele un ojo a este interesante vídeo de normativa sobre cookies.

Publicidad

La LSSI también regula las comunicaciones comerciales que mediante canales electrónicos (email, pero también otros como el SMS) puede llevar a cabo el vendedor (o prestador de servicio) con sus clientes. A este respecto se exige siempre que el consentimiento para la recepción de esa publicidad sea expreso y que sea posible siempre revocar tal consentimiento de forma telemática y sin coste.

Es importante tener presente que el consentimiento expreso implica o bien que el objeto del formulario en el que el cliente introduce su dirección de correo, sea la propia recepción de publicidad, o bien que si el formulario tiene otro propósito principal (p.e. la inscripción) sea necesario marcar la casilla correspondiente a la recepción de publicidad.

Por otro lado, la publicidad recibida por el potencial cliente debe ser clara lo cual supone incluir inequívocamente la identidad del anunciante y, en caso de tratarse de una promoción, el carácter promocional de ésta y cuáles son las condiciones.

Si no se dan estos requisitos la comunicación podrá considerarse spam y el anunciante podrá recibir sanciones como consecuencia de su infracción.

Permiso

No hay obligación alguna de obtener una autorización para vender productos o prestar servicios a través de internet, salvo que la actividad expresamente lo requiera como es el caso del desempeño de profesiones que estén colegiadas, la venta de productos farmacéuticos o la propia prestación de servicios de internet.

Enlaces de interés

El sitio Ayuda con la Ley de Protección de Datos tiene abundante información actualizada y artículos sobre el asunto que nos ocupa. En cualquier caso, destacamos tres artículos.

• Ley de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) 2018.

• Guía del RGPD.

• Guía sobre LSSI-CE.

Notas al pie

[1]

Por tanto, el derecho está íntimamente relacionado con los navegadores. Precisamente este derecho es el que motiva que el sitio del Boletín Oficial del Estado tenga un archivo robots.txt gigantesco y que, aunque se dejaron de añadir entradas en él, la justicia obligara a rectificar esta decisión.

[2]

Esto es, la Ley 3/2010.