Qué es la ley LOPD y LSSI o cómo hacer tu blog legal al proteger los datos de tus clientes (y evitar sanciones)

Este es un post invitado de Mayte Beka, creadora de Legalidad Online, en el que te explica cómo hacer tu blog legal y evitar más de un disgusto.

---

¡Hola!

Me llamo Mayte y soy abogada en España, pero no una abogada convencional de la que todos tenemos en mente. 

Soy una abogada emprendedora que he encontrado en internet la posibilidad de poder vivir de mi trabajo, sin la necesidad de estar encerrada en un despacho y en los juzgados.

Como posiblemente te pase a ti, a mi me inspiró la historia Antonio, yo también necesitaba salir de un trabajo gris que no me dejaba horas para disfrutar de la vida.

Los divorcios, las herencias o los impagos no eran lo mío. 

Pero sí me apasionaban las nuevas tecnologías, y me había especializado en ello. De hecho es un servicio que ofrecía en el despacho.

Entonces, ¿por qué no llevarlo a su verdadero ámbito, el mundo online? 

Y así es como comencé el blog de Legalidad Online. 

Mi finalidad es hacer más cercana y amena la legislación (dentro de lo posible, ya que un poco rollo sí es) a los nómadas digitales. 

Porque lo más probable es que hayas aprendido a crear un blog para que te genere ingresos, pero te hayas olvidado que es importante que cumpla unos requisitos legales.

Click para twittear:

¿Monetizas tu blog pero te has olvidado la parte legal? Este post entonces es para ti

¿Me equivoco? 

Pues no permitas que uno de los errores que puedes cometer con tu blog sea el de no tener correctamente los textos legales y la protección de datos. Porque es el que más caro te puede costar. Y con lo de caro me refiero a varios miles de euros.

No te asustes, porque ya vamos a corregir ese error. En este post te ofrezco un tutorial paso a paso para que desde ya empieces a ser un blogger legal. No lo dejes pasar más y ponlo en tu lista de tareas urgentes.

Voy a hablaros de cómo tener un blog legal en España. Pero como no sé si estás leyendo estas líneas en España, al final de esta guía también voy a dar algunas pinceladas de la legislación en otros países.

Vamos allá. ¡Comenzamos! 

¿Qué es la ley LOPD y cómo cumplirla para hacer tu blog legal?

Sé lo que estás pensando y la respuesta es sí. 

Para tener un blog legal debes cumplir la LOPD, ya que esta se encarga de proteger los datos de los particulares.

Y aunque no seas consciente, lo más seguro es que en tu blog estás recopilando o tengas acceso al email de tus usuarios (bien sea porque dejan un comentario, se suscriben o utilizan el formulario de contacto).

6 pasos para hacer tu blog legal y cumplir con la ley LOPD

Te explico ahora todo lo que debes tener en cuenta para que tu blob cumpla la LOPD. Te tienes que fijar en estos 6 puntos:

1. Registro de tratamiento de datos

Desde el 14 de mayo de 2018 dejaron de estar operativos los sistemas de alta de ficheros en la Agencia de protección de datos, ahora tienes que redactar un registro de actividades de tratamiento de datos.

Tienes que realizar un registro por cada tratamiento de datos que realices en tu negocio. Es decir:

• Usuarios de la web y suscriptores
• Proveedores
• Clientes
• Alumnos
• Etc.

En este registro indicarás:

• El nombre y los datos de contacto del responsable, es decir tus datos.
• Los fines del tratamiento. Por ejemplo, en el caso de los suscriptores es el envío por email de información de su interés y comercial.
• Una descripción del tipo de datos que se tratan.
• Quién tiene acceso a esos datos. Por ejemplo, el hosting, tu herramienta de email marketing, asistente virtual, community manager, asesoría fiscal, etc.
• Si es posible, indicar los plazos de conservación de los datos. Te pongo un ejemplo, en caso de los suscriptores, mientras no se den de baja, o cuando permanezcan sin leer los emails durante 6 meses.

Esta documentación NO tenemos que enviarla a la AEPD, sino que tenemos que conservarla y actualizarla cuando hagamos un nuevo tratamiento o cambiemos de proveedor o colaborador.

Es la documentación que te va a solicitar la Agencia Española de Protección de Datos en caso de inspección, junto al resto de documentación que te voy a comentar ahora.

2. Análisis de riesgo

Una vez que tengamos claro el tipo de tratamiento de datos que vamos a realizar, estudiaremos las posibles amenazas relacionadas con la protección y la seguridad de los datos que nos podemos encontrar.

De esta forma podemos prever los posibles riesgos a los que nos enfrentamos para implantar unas medidas de seguridad para mitigar las probabilidades de ese riesgo.

Te pongo un ejemplo que es como mejor se va a comprender 😉

En tu móvil tienes acceso al email del negocio y a Drive donde almacenas la documentación. 

Los posibles riesgos serían:

• Un tercero acceda a esa información, por lo que como medida de seguridad establecerás el bloqueo del móvil cuando no se use y el acceso al mismo mediante código o huella digital.
• Borrado de los datos, si por ejemplo tu hijo trastea con el móvil y borra lo que no debe. Las medidas de seguridad serán las mismas que he indicado antes para que no tenga acceso al dispositivo, y el de tener copias de seguridad para poder restablecer los datos.
• Acceso a la información que almacenamos si nos conectamos una wifi pública. Por lo que la medida que estableceremos es que nos conectaremos solo a redes seguras, o/y se hará a través de seguridad VPN.
• Pérdida o robo del móvil. En este caso la medida de seguridad que se puede adoptar es tener un sistema que permita el borrado de datos en remoto. Esta función la facilitan los antivirus.

De esta forma vamos a tener un conocimiento total de los datos que tratamos en nuestro negocio y cómo vamos a protegerlos.

3. Documento de seguridad

Estas medidas de seguridad las vamos a indicar en el Documento de Seguridad o Manual de Procedimiento de Protección de Datos.

¿El qué? Seguro que te has quedado a cuadros.

Pues es como un manual interno donde se recoge todo el procedimiento a seguir en tu negocio (blog) para proteger los datos con los que tratas.

En este documento vas a detallar: 

• Las personas que tienen acceso a los datos, como pueden ser los proveedores, colaboradores y trabajadores, y a qué datos en concreto tienen acceso.
• Enumera las medidas de seguridad que se van a establecer conforme al análisis de riesgo que has realizado antes.

Como te he indicado es la documentación que te va a pedir la AEPD en caso de inspección, por lo que mantenlo siempre actualizado.

4. Acuerdos encargados de tratamiento de datos

Eres el responsable del tratamiento, y como tal, tienes que firmar un acuerdo de encargados de tratamiento de datos con los proveedores y colaboradores que tengan acceso a los datos que tratas. Por ejemplo, 

• Tu gestor fiscal. 
• Tu proveedor de hosting. 
• Proveedor de email marketing. 
• El webmaster.
• Etc.

En este acuerdo es donde se va a indicar que los encargados de tratamiento de datos sólo pueden tratarlos para realizar su trabajo, y que tienen establecidas las medidas de seguridad necesarias para protegerlos.

Además van a certificar que cumplen también con la normativa de protección de datos, ya que desde la entrada en vigor del RGPD, tenemos que asegurarnos que trabajamos con proveedores y colaboradores que también cumplen la LOPD.

Los proveedores con los que trabajamos, normalmente ya tienen su documento creado y simplemente te lo envían para que lo firmes y conservéis ambos una copia. 

También pueden que hayan incluido este apartado en las condiciones de contratación. En este caso, guarda copia en pdf de dichas condiciones.

5. Consentimiento expreso al hacer tu blog legal

La nueva regulación europea de la ley LOPD (RGPD) establece que hay que tener el consentimiento expreso de los usuarios para que puedan tratarse sus datos. 

Es por ello que en todas las sesiones donde recopiles datos debes incluir una casilla donde hacer check, con un enlace a la política de privacidad de tu blog. ¿Dónde poner este check?

• Formulario de contacto
• Formularios de suscripción
• Comentarios
• Etc

Además, para que ese consentimiento sea válido, es necesario que sepan a qué están dando dicho consentimiento, y es por ello que se tiene que incluir una coletilla legal con la información básica del tratamiento de datos que se realiza.

En la política de privacidad es donde vamos a dar la información completa del tratamiento de datos que realizamos en nuestro negocio (blog).

Veamos ahora cómo hacer esa política de privacidad.

6. Política de privacidad

Donde va a quedar más visible que tienes un blog legal es en este tipo de textos, siendo uno de los más importantes la política de privacidad. En ella vas a informar de cómo obtienes, procesas y manejas los datos del usuario o cliente, pues la nueva ley LOPD indica que se debe dar una información transparente.

Por tanto, debes incluir el responsable de los datos (o sea, tú) y los terceros destinatarios de los mismos. Por ejemplo:

• La plataforma de email marketing que utilizas (por ejemplo, Antonio usa Active Campaign).
• El servicio de captación de leads (si utilizas Facebook Ads lo debes indicar).
• Etc.

Además, también deberás informar del plazo por el que se recopilan los datos y su finalidad.

No te agobies que aquí te dejo una plantilla de la política de privacidad para que puedas redactar correctamente la de tu blog. Pero no hagas un simple copia y pega, adáptala a tus circunstancias.

Click para twittear:

Proteger los datos de tus clientes es un ingrediente para hacer crecer tu negocio

Qué es la LSSI y cómo cumplirla para hacer tu blog legal

Desde el momento que tengas ingresos con tu blog, para tener un blog legal tienes que cumplir con la LSSI. Sobre las distintas formas de ganar dinero con un blog Antonio ya te escribió este post, pero da igual que sea a través de publicidad (Google Adsense), marketing de afiliación o vendiendo tus productos o servicios.

En cuanto generes ingresos, lo tendrás que indicar los siguientes textos legales en tu blog:

1. Aviso legal

Aquí es donde vas a identificar quién hay detrás de tu blog, vas a tener que dar la “cara” e indicar los siguientes datos:

• Tu nombre o denominación social y datos de contacto: domicilio, dirección de correo electrónico y cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un número de teléfono o un número de fax. 

• Tu DNI: sí, es obligatorio ponerlo.

• Número de registro: si la forma jurídica de tu negocio es una empresa (SL, SA, etc) tendrás que indicar los datos del registro en el Registro Mercantil.

• Autorización administrativa: si la actividad que ejercer requiere de una autorización administrativa, también tienes que ponerlo. 

• Profesiones reguladas: si tu blog es relativo a una profesión regulada, tienes que indicar los datos del colegio profesional y el número de colegiado. También el título académico y el Estado de la Unión Europea en que se expidió (o su homologación) y los códigos deontológicos aplicables al ejercicio de la profesión.

• Código de conducta: si debes cumplir algún código de conducta debes indicarlo y enlazarlos para que puedan consultarlo electrónicamente.

Normas de uso y la propiedad intelectual de tu blog.

En relación a las normas de uso, debes indicar lo siguiente:

• Sobre qué trata tu blog.
• Los servicios que ofreces.
• Las limitaciones que tiene el usuario (lo que puede o no puede hacer).

Indica también que el usuario es responsable de sus comentarios y que te reservas el derecho de borrarlos si resultan ofensivos, inadecuados o denigrantes.

Y respecto a la propiedad intelectual, deja claro que eres el autor y lo que el usuario puede realizar o no con el contenido. Por ejemplo, prohibir su reproducción si no tiene tu consentimiento, no utilizarlo con fines comerciales, etc.

Para que te resulte más sencillo redactarlo, te dejo un modelo de Aviso legal para que te vayas guiando. Mi recomendación es que, incluyendo todos los datos que te he comentado que son obligatorios, le des tu toque personal y crees un texto acorde a tu blog.

Condiciones de venta

Siempre que vendas productos o servicios directamente en tu blog debes tener las condiciones generales de contratación (o venta), ya que es como un contrato que te vincula a ti con tu cliente.

Todo lo que no regules es un cheque en blanco para el usuario que puede requerir soluciones absurdas o improcedentes que tendrás que aceptar por no haberlas regulado y establecer las limitaciones. ¿Lo has pensado alguna vez?

Aquí es donde vas a concretar todos los aspectos de la venta de tus productos o servicios que consideres oportuno, anticipándote a posibles problemas que puedan surgir, dándole una solución.

Añade a las condiciones de venta los siguientes apartados, incluyendo una información completa sobre ellos:

• Información sobre los productos y/o servicios que ofreces
• El precio de los mismos, si incluyen o no impuestos, y los gastos de envío.
• Métodos de pago
• Cómo se realiza un pedido y cómo se puede cancelar
• Plazos y sitio de entrega, y posibles soluciones cuando se produzcan incidencias en la entrega.
• Condiciones de devolución
• Garantías de los productos

Estas condiciones deben ser aceptadas por el cliente previamente a la compra, por lo que no olvides poner el check box para que acepten las condiciones generales de contratación antes del final del proceso de compra (enlázalo con las condiciones de venta).

Click para twittear:

Todo lo que no regules es un cheque en blanco para que el usuario pueda reclamar

¿Dónde debes poner el aviso legal?

La LSSI solo indica que debe estar en un lugar claramente visible y accesible en la web. Lo normal es ponerlo a pie de página, pero OJO, cuidado con que el aviso de las cookies no lo deje oculto.

Ya tienes un gran paso dado para tener un blog legal, ya queda poquito. ¡Vamos allá!

Click para twittear:

El aviso legal da una apariencia más profesional a tu blog

2. La Política de Cookies

Otro paso más para tener un blog legal es incluir la política de cookies.

Las cookies son unos ficheros en que instalan en el navegador del usuario que visita tu blog para recordar y almacenar su pauta de comportamiento e información (datos bancarios, fotografías, DNI,…).

Es por ello que hay que informarles de cuáles se están utilizando, y solicitar previamente el consentimiento para instalarlas.

¿Cómo hacer la política de cookies?

Debes informar al usuario en dos fases:

A. Ventana emergente

Con una ventana emergente que aparece en cuanto acceden a tu blog (la que siempre vemos) y en la que informas del uso de cookies, el tipo y su finalidad (importante enlazar con la política de cookies).

Desde el 31 de octubre de 2020, es muy importante utilizar un plugin o herramienta que bloquee las cookies hasta que usuario las acepte, y si no las acepta puede seguir navegando por la web.

Además, tenemos que configurarlo para que se descarguen las cookies solo si las acepta, porque ya no se considera que acepta si sigue navegando por la web.

Para poner la primera capa puedes usar bien un plugin como es el caso de GDPR Cookie Compliance o Complianz.

También puedes utilizar la herramienta Cookiebot.

B. El texto legal

En la famosa política de cookies tendrás que indicar:

• Qué son las cookies
• Qué cookies son las que almacenas en tu blog (tienes que hacer un listado) y de qué tipo son: propias, de terceros, permanentes, de sesión, de análisis,… y su finalidad.

Un ejemplo, si utilizas Google Analytics (que seguro que lo haces) deberás indicar: “cookies de Google Analytics destinadas a recopilar estadísticas para mejorar la experiencia de navegación en la web” y enlazar con su política de privacidad.

• Explicar cómo puedes desactivarla en cada uno de los navegadores.

Por si quieres ampliar la información, la AEPD ha realizado una completa Guía sobre el uso de las cookies

Además, te dejo un modelo de política de cookies para que puedas guiarte. Y te vuelvo a recordar aquí también no hacer un copia y pega, adapta este texto al tono de tu blog y revisa bien cuáles son las cookies que utilizas (aprovecha para ver qué plugin puedes eliminar y así ganar velocidad).

¿Aún no te has decidido a tener un blog legal?

Click para twittear:

Avisos bien redactados es la receta perfecta en tu política de cookies

Sanciones por incumplir la ley LOPD y la LSSI y no tener tu blog legal

Por si aún no te había convencido para ser un blogger legal te voy a decir cuáles son las sanciones por no cumplir con la LOPD y la LSSI, porque como ya te comenté al principio son muy elevadas y puedes endeudarte de por vida. 

Todo dependerá de varios factores:

• Grado de la infracción.
• Los beneficios económicos obtenidos.
• Si ha existido intencionalidad.
• El tiempo durante el que se ha cometido la infracción.
• El tipo.
• Etc.

Con la aplicación del RGPD ahora las sanciones se elevan hasta los 20 millones de euros, o el 4% del volumen de facturación anual, optándose por la de mayor cuantía.

¿Qué piensas que tu blog no es una gran empresa para que te pillen? 

Pues nada tiene que ver, porque todos estamos “en peligro”, ya que tu misma competencia te puede denunciar, o un usuario al que le has caído mal.

Click para twittear:

¿Un blog pequeño no tiene que ser legal? Cualquiera o tu misma competencia te puede denunciar

No te van a poner una sanción de 20 millones de euros, porque tienen en consideración varios factores. Pero son acumulativas en función de las infracciones de tu negocio. Y como prueba, ya hay sanciones de la AEPD de 3.000 € por no informar de todas las cookies que descargaba la web. 

A mí me llega una sanción así (y eso que es que de las bajas), y me descuadra totalmente mi economía. 

¿Y a ti?

¿Cuál es la legislación para hacer tu blog legal en otros países?

Como ya te comenté al principio, ésta es la normativa de un blog legal en España, pero si vives en otro país, también tienes leyes que cumplir, en algunos casos muy similares.

Porque, además, debes tener en cuenta que, aunque no residas en España, si tienes visitas en el blog o clientes con residencia en la Unión Europea, ya tienes que cumplir con el RGPD. Es decir, con la normativa que te he comentado hasta ahora.

Pero si el país donde resides forma parte de la Red Iberoamericana de Protección de Datos (RIPD), si estás cumpliendo la normativa de tu país, no tienes que preocuparte por el RGPD, ya que estos países tienen una normativa unificada, y entre estos países se encuentra España.

1. Argentina

En Argentina, para que tu blog sea legal debe cumplir requisitos similares, ya que forma parte de la Red Iberoamericana de Protección de Datos.

En materia de protección de datos debe regirse por la Ley 25.326 de Protección de Datos Personales (LPDP). Por lo que se necesita el consentimiento libre, expreso e informado de los usuarios de la página para recoger sus datos, e informar de la finalidad.

A diferencia que en España, sí tienes que seguir registrando los ficheros en el Registro Nacional de Bases de Datos Privadas.

La Dirección Nacional de Protección de Datos Personales tiene facultad de realizar inspecciones sin necesidad de recibir ninguna denuncia (a diferencia de España) y las multas por incumplimiento van de $1.000 a $100.000, dependiendo del grado de infracción.

Aquí puedes consultar toda la legislación a aplicar a tu negocio online.

2. México

Para tener un blog legal en México debes cumplir la protección de datos, que es muy similar a la española, ya que también forma parte de la Red Iberoamericana de Protección de Datos.

En concreto tienes que cumplir la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).

Hay que realizar un Sistema de Datos que se debe registrar ante el INFO, el cual se publicará en la Gaceta Oficial. 

Tendrás que incluir el aviso de privacidad, donde indicarás de forma clara el tipo de datos personales que requieres y el uso que darás a éstos, además de indicar quién es el responsable y cómo ejercer los derechos ARCO.

El órgano responsable es el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) que te facilitan modelos de aviso de privacidad, e incluso te ayudan de realizarlo de forma gratuita.

Debes tomas unas medidas de seguridad según la sensibilidad de los datos que se tratan.

3. Colombia

Colombia también tiene unos requisitos similares a España para tener un blog legal, al ser también un país miembro de la Red Iberoamericana de Protección de Datos.

Tienes que cumplir la Ley 1581 de 2012 denominada Ley de Protección de Datos, el Decreto 1377 de 2013 y el Decreto 1074 de 2015 y registrar las bases de datos ante la Superintendencia de Industria y Comercio.

Hay que obtener la autorización previa del usuario para recolectar y usar sus datos personales, por lo que en cada formulario se debe poner la casilla para que marque el check de “Autorizo el tratamiento de mis datos personales”, enlazando con el Aviso de Privacidad.

Si se venden productos y/o servicios además hay que cumplir la Ley 1480 de 2011 relativa a la protección del consumidor.

4. Chile

Tiene nueva regulación en materia de protección de datos para adecuarse a la normativa unificada de los países que forman parte de la Red Iberoamericana de protección de Datos.

Sólo se podrá usar los datos personales de una persona con el consentimiento explícito del titular o por disposición legal, y solo para el fin para el que fueron recabados. Se incluyen los derechos ARCO.

La política de privacidad incluye una amplia información sobre el proceso o método aplicado en el blog para recoger los datos personales, además de indicar el uso que se le dará a esta información u el nivel de seguridad que ofrece.

Puedes informar de los beneficios que pueden percibir gracias a la información que facilitan. Por ejemplo, se pueden ofrecer promociones especiales para el cumpleaños de un usuario, información sobre las tiendas más cercanas,…

Para tener un blog legal en Chile, debes incluir la política de cookies con el mismo contenido que en España.

Por último, incluye las condiciones de uso, donde indicarás cómo deben usarse el blog y los contenidos ofrecidos en él, las reglas que regulan los servicios ofrecidos, los derechos de autor de los artículos, imágenes y vídeos.

5. Perú

La normativa en Perú para que tu blog sea legal es muy similar también a España, ya que también forma parte de la Red Iberoamericana de Protección de Datos.

Deben incluirse los términos y condiciones de uso y una política de privacidad que especifique el uso responsable de la información personal de tus usuarios.

Hay que obtener el consentimiento del titular de los datos, el cual debe otorgarse para un fin específico y de manera libre, previa y expresa.

Se debe realizar la inscripción de los bancos de datos ante el Registro Nacional de Protección de Datos Personales (RNPDP).

6. EE.UU

En EEUU la protección de datos era prácticamente inexistente, pero en enero de 2020 entró en vigor en California la Ley de Privacidad del Consumidor.

La normativa es por sectores/empresas. No hay normativa de alcance general, por lo que las sanciones se deciden según cada caso ante las Cortes. No existe ninguna Agencia ni autoridad que lo controle.

En Europa se recogen los datos cuando es necesario y sólo lo imprescindible, pero en EE.UU se recogen datos cuando conviene al negocio.

Pero ojo, si tu blog ofrece servicios a europeos, debes cumplir con la protección de datos en Europa, por lo que sigue las pautas que he indicado en relación a España.

Actualmente está en proceso la redacción de una ley federal de privacidad en EE.UU, tras el cambio de Presidente.

Espero que esta guía te haya ayudado a concienciarte de que tener un blog legal es importante. No solo estás protegiendo los datos de lectores, suscriptores y clientes, sino que también estás evitando una posible sanción.

¡Así que pon en práctica todo lo que te he explicado en este tutorial!

Ahora me despido, pero te dejo antes un regalo…

Ya que has aguantado hasta el final, quiero regalarte un checklist con todos los aspectos legales que debes tener en cuenta en tu blog, para que no te dejes nada atrás y puedas seguir viajando con la tranquilidad de tener un blog legal al 100% 😉

Y ahora dime….

¿Conocías estos aspectos legales que debes cumplir en tu blog? ¿Vas a pasar a la acción y vas a ser un blogger legal?