Et vas perdre el darrer webinar de Nominalia sobre la informació legal que ha d'integrar la teva pàgina web per complir la legislació? Aquí et resumim els punts més destacats.
El passat 24 de febrer de 2021, a l'Escola d'Internet vam tenir ocasió de comptar amb Gina Andrés i Jaume Feliu, consultors de protecció de dades a Pime Legal —partner de confiança de Nominalia—, que ens van explicar com afecta una pàgina web o botiga en línia la normativa sobre protecció de dades i què cal fer per posar un lloc web al dia del que dicta la llei.
A continuació, compartim amb vosaltres els aspectes principals que es van tractar en aquest webinar sobre normativa de llocs web i botigues en línia.
Continguts
1. Quines obligacions tenen les pàgines web?
Primer de tot, cal entendre el que és la protecció de dades: un dret fonamental que neix de la Constitució i que obliga a protegir la intimitat i la privadesa de les persones físiques contra la recopilació i l'ús indiscriminats de les seves dades de caràcter personal.
Les sancions per atemptar contra aquest dret fonamental són altes; per tant, cal conèixer la normativa sobre això. En concret, en el marc de la protecció de dades s'apliquen tres normes:
- Reglament General de Protecció de Dades (RGPD). Aquest reglament europeu és obligatori per a totes les empreses que tracten dades personals i constitueix la base de tota la normativa en aquest àmbit.
- Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals (LOPDGDD). Llei que transposa el reglament europeu a Espanya. Si bé mai no contradiu el que disposa l'RGPD —la norma bàsica—, sí que desenvolupa alguns punts que el reglament deixa a criteri de cada Estat membre. A més, estipula normes específiques per sector (sanitat, educació, laboral, etc.).
- Llei de Serveis de la Societat de la Informació i del Comerç Electrònic (LSSICE). Llei específica en matèria de privadesa dels llocs web. Tot i això, en aquests moments l'Eurocambra està preparant un nou reglament (Privadesa electrònica) que obligarà les empreses a adaptar totes les seves comunicacions, sobretot pel que fa a la seguretat i la conservació o esborrament de comunicacions electròniques. Un altre punt destacat que tractarà és el de les galetes.
2. Àmbit daplicació: què es considera una dada personal?
L'àmbit objectiu de la normativa, doncs, és tot el que fa referència a les dades personals. Però què són les dades personals?
Com identificar un dada de caràcter personal?
S'entén per dada de caràcter personal qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus concernent persones físiques identificades o identificables.
Ex.: imatge d'una càmera de videovigilància, un currículum, una radiografia, una fotocòpia del DNI…
Tot això, i no només la informació referent als gustos, creences religioses o altres detalls íntims d'una persona, és susceptible de protecció. Amb tot, el reglament distingeix entre:
- Dades bàsiques: nom i cognoms, telèfon, correu electrònic, fotografia, adreça, dades bancàries.
- Dades sensibles: afiliació política, filosòfica, religiosa o sindical; salut, vida o orientació sexual; genètics o biomètrics; origen ètnic o racial.
- Dades de consideració especial: dades de menors i col·lectius vulnerables, rendiment laboral, situació econòmica, preferències o interessos especials, geolocalització, etc.
Dades que queden excloses
No es consideren susceptibles de protecció les dades relatives als àmbits següents:
- Identificació d'empreses
- Persones de contacte
- Empresaris individuals
- Persones mortes
- Àmbit domèstic
3. Principis: com i quan es poden tractar dades personals?
Per saber quan i com es poden tractar les dades personals (dins i fora de la pàgina web), hem de tenir molt clares les bases jurídiques o els principis de la protecció de dades. Són sis:
- Principi de licitud. Perquè el tractament es consideri lícit, lleial i transparent, a la clàusula que donem a l'interessat cal indicar de manera clara: què farem amb la vostra informació, la identitat del responsable encarregat del tractament, com legitimem l'ús que fem de les dades i com podeu fer valer els vostres drets, entre altres assumptes. A més a més, aquesta informació ha de ser fàcilment accessible.
Una de les bases jurídiques més utilitzades per legitimar el tractament de les dades és el consentiment de l'interessat. Tot i això, el consentiment ha de ser:
- Lliure i informat.
- Inequívoc, és a dir, prestat positivament: no val el consentiment tàcit. Tampoc no són legals les caselles premarcades.
- Específic per a cada finalitat. A més, linteressat ha de poder autoritzar de manera independent cada finalitat.
- Principi de limitació de les finalitats. A la informació que es facilita a l'interessat, hi ha de constar la finalitat per a la qual recollim les vostres dades.
- Principi de minimització de dades. El tractament ha de limitar-se al que és necessari per als fins exposats.
- Principi d´exactitud. Les dades han de ser veraces i actualitzades.
- Principi de limitació del termini de conservació. La llei no permet guardar les dades més temps del necessari per als fins establerts. A més, a les clàusules s'han d'assenyalar els terminis previstos.
- Principi de disponibilitat, integritat i confidencialitat. Aquesta triple base jurídica representa el pilar de la seguretat de la informació, ja que garanteix que no se'n faci un ús no autoritzat o il·lícit de les dades i preveu que es perdin o siguin alterats.
Quina informació hem de proporcionar a les clàusules sobre protecció de dades?
La informació bàsica que cal incloure a les clàusules d'informació inclou:
- Identitat i dades de contacte del responsable del tractament, del delegat de protecció de dades i del representant (si n'hi ha).
- Fins del tractament.
- Legitimació (base jurídica per fer el tractament).
- Destinataris de les dades i possibles cessions a tercers.
- Drets que assisteixen a linteressat:
- Revocació del consentiment sense que desvirtuï el prèviament atorgat
- Accés, rectificació, supressió i portabilitat de dades
- Limitació o oposició al tractament
- Presentar una reclamació davant de la autoritat de control
Com cal proporcionar aquesta informació?
Es proposa presentar tota aquesta informació en dues capes:
- ª capa: Informació bàsica en format resumit. S'ofereix al moment en què es recopilen les dades i en el mateix format. Ex.: breu nota al mateix contracte que signa el client.
- ª capa: Informació detallada en un mitjà més adequat per a la comprensió. Ex.: pàgina web amb la política de privadesa.
Això no obstant, no és obligatori presentar la informació d'aquesta manera. Sempre que sigui fàcilment accessible i clara, es pot facilitar com es prefereixi.
4. Quins avisos legals ha de contenir una pàgina web?
Tot web que tingui algun tipus d'activitat econòmica (ex.: una botiga en línia, una pàgina on es posen anuncis que redunden en benefici econòmic, etc.) ha de complir amb els apartats mínims següents:
- Avís legal. L'objectiu fonamental és identificar el responsable del web i indicar-ne els termes i condicions d'ús, així com les garanties i responsabilitats del responsable, les condicions particulars dels hiperenllaços, els titulars de la propietat intel·lectual i industrial de la pàgina, i la legislació aplicable.
- Política de privadesa. Si recollim dades personals, cal informar l'usuari de les condicions de manera clara i concisa.
- Política de galetes. Aquest apartat ha d'estar ben visible. S'hi ha d'assenyalar la finalitat de les galetes, qui les instal·la i com es poden desinstal·lar. A més, cal donar opció a rebutjar-les o configurar-les.
- Condicions generals de contractació (ecommerce). Es tracta de les condicions que el venedor posa al comprador: no són específiques per a cada comprador, sinó que són generals (el que s'anomena contracte d'adhesió). Aquestes condicions tenen les pròpies característiques mínimes quant a la redacció: si les clàusules no estan ben redactades o són fosques, sempre es fallarà a favor del comprador. Per acceptar-ne les condicions, el comprador ha de marcar necessàriament una casella de verificació o acceptació.
- Clàusula per a comunicacions comercials (newsletter).
Quan deu un web complir amb les normatives sobre protecció de dades?
Quan tingui o usi, entre d'altres:
- Formulari de contacte web
- Secció d'enviament de currículums
- Termes i condicions d'ús (app)
- Formulari per a xat
- Formulari per a cita prèvia
- Formulari per a subscripció
- Àrea privada per a usuaris registrats
- Productes, serveis o infoproductes a la venda
- Promocions a les xarxes socials
- Campanyes de correu electrònic màrqueting
- Google Analytics o similar
5. Campanyes de màrqueting: fins on podem arribar?
Per enviar un email comercial o butlletí de notícies, cal comptar primer amb consentiment exprés. Si s'envien comunicacions sense haver-se sol·licitat, es pot denunciar. Per aconseguir el consentiment, cal seguir la tècnica del doble optar a: la persona usuària haurà de marcar una casella i, en rebre el correu electrònic de confirmació, clicar l'enllaç.
Això no obstant, es permet l'enviament de comunicacions comercials als usuaris amb els quals hi hagi una relació contractual prèvia, entesa aquesta com qualsevol adquisició de producte o servei en què s'hagi emès una factura. En aquest cas, el prestador podrà enviar publicitat sobre productes o serveis semblants als contractats pel client.
En tot cas, cal informar l'usuari dels aspectes bàsics del tractament que es fa de les dades i habilitar un mecanisme perquè pugui revocar el consentiment, tant en el moment de recollida de les dades com en cadascuna de les comunicacions comercials que se li dirigeixi.
A més, si es fan servir programes de segmentació o es comparteixen dades amb altres programes, caldrà comprovar que aquestes eines compleixen amb el RGPD.
D'altra banda, cal implementar mesures de seguretat adequades per protegir les bases de dades dels usuaris i clients.
Finalment, cal poder acreditar totes aquestes mesures en qualsevol moment (responsabilitat).
6. Obligacions dels responsables de tractament: què ha de fer el responsable duna web?
- Garantir els principis del dret de la protecció de dades.
- Informar degudament els usuaris de tots els aspectes bàsics.
- Disposar d'un registre d'activitats de tractament (RAT): és un formulari on es detallen els tipus de dades (de proveïdors, treballadors, clients i usuaris) que es tracten a la nostra empresa. Aquests registres s'han de fer per a cadascun dels tractaments que es duguin a terme. Les dades han d'estar sempre actualitzades:
- Responsable del tractament
- Finalitat
- Categories d'interessats i dades tractades
- Transferències internacionals
- Terminis de supressió
- Mesures tècniques i organitzatives de seguretat
- Realitzar una anàlisi de riscos o una avaluació d'impacte (si escau).
- Garantir els drets dels afectats.
- Designar un delegat de protecció de dades (si escau).
- Regular les transferències internacionals de dades (si escau).
- Regular la relació amb els encarregats del tractament (què farà el proveïdor de hosting amb les dades emmagatzemades).
- Establir un protocol per als treballadors.
- Aplicar mesures tècniques i organitzatives.
- Establir un protocol per a les bretxes de seguretat.
Deixa-ho en mans de professionals: Nominalia se'n fa càrrec
La majoria dels incidents de seguretat en matèria de protecció de dades estan causats per distraccions o mandra en l'aplicació de mesures o bé per desconeixement de la normativa. Tot i això, això no és excusa i les sancions que s'apliquen per incompliments en aquest terreny són molt elevades:
- Greus: fins a 10 milions d'euros o el 2% del volum anual de negoci de l'any anterior
- No aplicar mesures tècniques per defecte
- No disposeu de registre d'activitats de tractament
- No fer l'avaluació d'impacte
- Molt greus: fins a 20 milions d'euros o el 4% del volum anual de negoci de l'any anterior
- No complir els principis del RGPD
- No complir els requisits de transferència internacional de dades
Per això, per a la majoria de pimes i autònoms el més simple i eficaç és consultar un especialista dedicat a aquest àmbit.
Nominalia t'ajuda et dóna cobertura en matèria de protecció de dades
Nominalia ofereix als seus clients un servei de elaboració de textos legals específics per a cada web o botiga en línia. La contractació del servei es pot fer en dues modalitats, estant segurs que amb qualsevol de les dues aconseguirem que la nostra web compleixi amb la normativa RGPD/LSSICE sobre protecció de dades:
- Pack d'autogestió (115 € + IVA): El client rep els textos legals personalitzats amb la seva empresa i totes les instruccions necessàries per implementar aquests textos a la seva web.
- Pack amb assessorament legal (250 € + IVA): El client té contacte directe amb els assessors legals i també rep assessorament tècnic per agilitzar l'actualització de la web.
Aquest servei només es paga una vegada: si passat un any vols continuar, pots contractar el Pack de Manteniment anual per 50 €. Així tindràs la tranquil·litat de saber que t'avisarem si has d'actualitzar els avisos legals de la teva web, sigui per un canvi de normativa per qualsevol altre motiu. Informa't sense compromís aquí.