Blog

Tengo un blog, ¿debo cumplir la LOPD?

La respuesta a esta pregunta, es afirmativa. Por supuesto que debo cumplir las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD) y del reglamento que lo desarrolla (en adelante RLOPD).

La reacción de muchos bloggers puede ser: “¿En serio, estoy obligado a cumplir las normas sobre proteción de datos? ¡Vamos, si se trata de un blog en el que expreso mi opinión! ¡No hará falta nada de eso!”

No hará falta nada de eso si simplemente publicáis posts, entradas o artículos, pero si mediante los formularios de suscripción al blog, de contacto o por cualquier otro medio a través de vuestro blog recabáis y manejáis datos personales, debéis observar las previsiones legales en materia de protección de datos.

Aquí os dejo un breve glosario de términos de la LOPD que os puede servir para consultar algún término mientras leéis el post:

Glosario2

 ¿Qué es un dato personal?

Según la definición de la LOPD, un dato personal comprende cualquier información concerniente a persona física identificada o identificable. Por tanto debe existir la concurrencia de un doble elemento: la existencia de una información o dato y que dicho dato pueda vincularse de forma directa o indirecta a una persona física identificada o identificable.

¿Entonces son datos personales todos los datos pertenecientes a personas físicas? Sí, pero con los matices que veremos a continuación con respecto a las exclusiones del régimen de aplicación de la normativa de protección de datos.

Se excluyen del régimen de aplicación de la normativa de protección de datos y por tanto no serán considerados datos personales:

  • Aquellos datos referidos a personas jurídicas (empresas, sociedades, asociaciones, organismos)
  • Los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en empresas (personas jurídicas) como nombre y apellidos, funciones o puestos desempeñados, la dirección postal o electrónica, teléfono y número de fax profesionales.
  • Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

Por tanto, se someten al régimen de protección los datos personales que pertenezcan a personas físicas, siempre y cuando tales datos no puedan ser considerados profesionales, comerciales o propios del tráfico mercantil que desarrollen como empresarios individuales o como empleados de una empresa.

¿El correo electrónico tiene la consideración de dato personal?

Si el conjunto de signos o caracteres que componen una dirección de correo electrónico permiten la vinculación directa o indirecta con una persona física, efectivamente tiene la consideración de dato personal.

Así que atención a esto: la utilización de una dirección de e-mail sin consentimiento de su titular vulnera la normativa sobre protección de datos y se podría denunciar ante la Agencia.

¿Recabo datos personales a través de mi blog?

Si sois bloggers o blogueros, seguramente queráis obtener suscriptores a los que poder comunicar una nueva publicación, por lo que a tal fin lo que estamos haciendo es recabar el nombre, los apellidos y la dirección electrónica de usuarios y por tanto estamos teniendo acceso a datos personales, pues corresponden a personas físicas, y nos permiten identificarlos perfectamente y los almacenamos de una manera organizada.

A ese conjunto de datos organizados la LOPD lo denomina fichero. Por tanto, como autores o creadores de un blog, seremos responsables de los ficheros de datos que recabemos.

¿Qué es un encargado de tratamiento?

Para entendernos, es cualquier persona que tiene acceso a los datos personales recabados y los maneja por alguna razón justificada. Por ejemplo, puede que vosotros seáis los autores del blog, pero que un tercero ordene y almacene los contactos o los suscriptores. Ese tercero, aunque sea vuestro/a novio/a y tengáis plena confianza en él/ella, es un  encargado de tratamiento a los efectos de la ley y por tanto debe ser identificado como tal.

¿Los proveedores de servicios de cloud computing o de servicios de envío de mails y newsletters son encargados de tratamiento?

Suele ser muy habitual contratar con alguna empresa un servicio de envío de mails y newsletters tipo Mailchimp, Codeeta, Aweber… Esas empresas son a todos los efectos encargados de tratamiento de datos personales toda vez que tratan, es decir, manejan los datos personales, recabados a través de vuestro blog. Lo mismo ocurre con las empresas de hosting que en su caso hayáis contratado para alojar vuestro blog, pues puede darse la circunstancia de que los datos personales obtenidos se almacenen en los servidores de dichas empresas.

En estos casos, debéis firmar un contrato con esas empresas de cloud computing o gestión de newsletters, ya sea de forma digital o manuscrita, siendo suficiente con el “acepto las condiciones” de alta en el servicio. Pero antes de contratar (firmar el contrato o aceptar el alta en el servicio) es conveniente leer los términos de uso y condiciones generales de esos servicios, para estar seguros de que esas empresas se comprometen a ofrecer las debidas garantías de protección de datos y que si no lo hacen, puedo pedirles responsabilidades.

¿Qué ocurre en los casos en los que ese prestador de servicios está fuera del territorio del Espacio Económico Europeo?

Sencillamente que estamos ante un supuesto de transferencia internacional de datos, ya sea una cesión o comunicación de datos,  o bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. En esos casos será necesaria una Autorización del Director de la Agencia Española de Protección de Datos (cuyo trámite puede durar en torno a tres meses), salvo que los datos se transfieran a un país que ofrezca un nivel adecuado de protección o a empresas de Estados Unidos que se hayan adherido al Convenio de Puerto Seguro (Safe Harbor).

Hasta la fecha han sido declarados como países con nivel adecuado de protección los siguientes:

Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey,Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda.

Debo recordar que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dicho anteriormente.

¿Qué es el Convenio de Puerto Seguro (Safe Harbor)?

Muchos proveedores de cloud computing están en Estados Unidos, y allí no existe una ley de protección de datos, sino normas dispersas propias de su sistema jurídico; por ello  la Unión Europea aprobó con arreglo a la Directiva 95/46/CE (que constituye el texto de referencia en Europa en materia de protección de datos personales) el Convenio de Puerto Seguro (safe harbor), que consiste en una serie de principios que regulan una protección de datos “adecuada” de acuerdo a lo definido en dicha directiva, y a los que se someten las empresas norteamericanas que se adhieren al mismo.

Las entidades o empresas estadounidenses adheridas a Safe Harbor tienen reconocido por la Comisión Europea un adecuado nivel de protección (Decisión2000/520/CE). Por lo tanto, esta Transferencia Internacional no requiere autorización del Director de la AGPD.  El principio de transferencias internacionales de Safe Harbor limita al prestador de servicios la subcontratación a otras entidades adheridas a Safe Harbor mediante un contrato que exija el cumplimiento de los principios de protección de datos (existe un encadenamiento de garantías).

Pero, ¡ojo! el responsable de tratamiento de los datos debe autorizar la subcontratación y conocer la identidad de los subencargados. Habrá que intentar por tanto, tratar de conocer la identidad y ubicación de los mismos. Soy consciente de que en algunos casos eso será prácticamente imposible.

La empresa estadounidense Mailchimp por ejemplo  está adherida al convenio safe harbor. Se puede ver en su aviso legal.

safeharbor

Las obligaciones que impone la LOPD (también para bloggers):

Calidad de los datos: Los datos sólo de podrán recoger si son adecuados, pertinentes y no excesivos, debiéndose utilizar para la finalidad para la que fueron recabados. Deben ser exactos y puestos al día, cancelándose cuando hayan dejado de ser necesarios

Deber de información: Debe informarse a los usuarios a los que se soliciten sus datos personales de la existencia de un fichero de datos personales y de para qué se va a utilizar tal fichero. De igual forma se deberá informar de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, así como de la identidad y dirección del responsable.

Consentimiento y comunicación de datos. El tratamiento de datos personales requerirá el consentimiento previo del interesado o afectado. Dicho consentimiento debe cumplir los siguientes requisitos:

  • Debe ser libre, esto es, que no se encuentre viciado según las disposiciones del Código Civil.
  • Debe ser específico, por cuanto debe prestarse a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable de tratamiento.
  •  Debe ser informado, siendo necesario para su obtención informar al interesado de:
  • La existencia de un fichero en el que se van a incorporar los datos del interesado y del tratamiento de ese fichero.
  • Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean formuladas en un cuestionario y de las consecuencias de la obtención de los datos o de la negativa a proporcionarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
  • De la identidad y dirección del responsable de tratamiento.

Estas advertencias deben constar de manera legible en los formularios de recogida de datos y en el Aviso Legal, como explico en mi post “Cómo hacer el aviso legal de tu web”.

  • Debe ser inequívoco, por cuanto no puede haber duda de la prestación del consentimiento.

Deber de secreto: el responsable del fichero y quienes intervengan en el tratamiento de los datos personales están obligados al secreto profesional respecto de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o responsable del fichero.

Seguridad: el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, y su tratamiento o acceso no autorizado.
Merecería de un post a parte la elaboración del llamado Documento de Seguridad, que consiste en  un documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal.
Su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento. Es obligatoria su elaboración, pero se trata de un documento interno de cada responsable (no se registra en la AGPD).
La propia AGPD ha elaborado una guía para su elaboración.

Inscripción.- Por otra parte, cualquier fichero de datos de carácter personal deberá ser notificado por su responsable a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.

Cómo puedo inscribir mis ficheros?

Para realizar la inscripción inicial de cualquier fichero, y en su caso la posterior modificación o supresión de la inscripción, en la web de la Agencia Española de Protección de datos (www.agpd.es) podéis encontrar el formulario electrónica que denominan NOTA (Notificaciones Telemáticas de la AEPD) a través del cual podéis solicitar la inscripción de ficheros en el Registro General de Protección de Datos.

Este formulario os permite la presentación de forma gratuita de notificaciones a través de Internet con certificado de firma electrónica. En caso de no disponer de un certificado de firma electrónica, también podéis presentar la notificación a través de Internet, para lo cual deberá remitir a la Agencia la Hoja de solicitud correspondiente al envío realizado debidamente firmada. Por último, podéis optar por el modo de presentación en soporte papel.

¿Y vuestro blog cumple con la normativa de protección de datos?¿Habéis inscrito vuestros ficheros?

79 Comments

  1. Miriam Garcia

    Muy interesante el artículo porque soy megatorpe y nunca consigo
    aclararme con ese lenguaje… pero sigo sin tener claro mi caso. Yo
    tengo un blog y solo solicito el correo electrónico para que el personal
    reciba mis posts por correo. Estoy obligada a incluir una advertencia
    en el formulario de que no voy a usar los correos para fines malvados? Y
    estoy obligada a notificar a la AGPD del fichero de Feedburner?

    1. NANDO OLCINA

      Hola Miriam.Muchas gracias por leerme y por dejar tu comment. La respuesta es sí, debes advertir en el formulario en el que recabas datos que esos datos van a ser incorporados a un fichero de la que eres responsable y su finalidad, pero también cómo tus usuarios pueden ejercitar sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) sobre el tratamiento de sus datos personales. Si dicha finalidad es sólo para informarles de futuras publicaciones, pues para eso, si es para otra cosa, pues también hay que informarlo (puedes ver como lo hago yo en el blog), tanto en la pestaña de contacto, como en el mail que envío a los que se suscriben al blog – pero para eso tendrías que suscribirte 😉 -. En cualquier caso, te recomiendo que te leas mi post “Cómo hacer el aviso legal de tu web”, puede aclararte un poco más todo esto.
      En cuanto a lo que llamas fichero de Feedburner, en realidad el fichero de suscriptores es tuyo, tú eres la responsable. Feedburner es el proveedor de servicios que maneja esos datos porque tú les has contratado a tal fin. La Ley llama a estos proveedores “encargados de tratamiento” y lo que debes reflejar en tu solicitud de inscripción es que Feedburner es el encargado de tratamiento de tu fichero.
      Espero haber resuelto tu duda.
      Muchas gracias y espero verte pronto por aquí.

      1. Miriam Garcia

        Me la has resuelto del todo y menos mal, porque no tengo nada hecho. Pues como le dé a la AGPD por darse un garbeo por los blogs… se van a inflar a meternos puros. Y mil gracias, me ha sido utilísimo.

        1. NANDO OLCINA

          No te preocupes por eso, Miriam. La AGPD no actúa de oficio, esto es, actúa si alguien te denuncia ante ellos. Por eso será poco probable, pero nunca está de más tenerlo todo en orden. Un placer, gracias a ti. Un saludo

  2. Isabel Romero Carretero

    Muy completo el artículo. Pero… tengo una duda. Si el fichero es algo vivo y los suscriptores pueden ir cambiando a lo largo del tiempo, ¿hay que actualizar el fichero en la agpd? ¿cada cuanto tiempo?.
    GRACIAS

    1. NANDO OLCINA

      Hola Isabel. Muchas gracias . En cuanto a la duda que me planteas: en realidad lo que hacemos con la inscripción de ficheros es notificar a la Agencia de Protección de datos el tipo de ficheros que manejamos. De lo contrario, imagina el servidor que deberían utilizar para almacenar todos los datos personales recabados por todas las empresas. Por ello, sí debemos ir actualizando los datos de los interesados en nuestro fichero de forma interna (principio de calidad de los datos), pero no tenemos que comunicar esas actualizaciones a la Agencia. Espero haber resuelto tu duda. Un saludo

  3. Joel Rodríguez

    Buenos días.

    Me ha encantado el artículo, pero tengo una duda. Yo tengo el siguiente blog:

    http://elartedelprogramador.com

    Y no tengo ningún formulario de contacto ni de suscripción. Simplemente, en algunas páginas del blog (como las de quién soy o la de licencias) digo que, si quieren contactar conmigo, pueden enviarme un email a elartedelprogramador@gmail.com. ¿Estaría obligado a cumplir con la LOPD en este caso?

    Saludos.

    1. NANDO OLCINA

      Hola Joel, muchísimas gracias por tu comentario. Siento contestarte tan tarde porque no sé qué ha pasado con la aplicación que me gestiona los comentarios y no había recibido notificación de tu comentario.Mil disculpas!
      He entrado en tu web para comprobar si recabas datos y he podido verificar que tu web debe cumplir con la LOPD, pues tienes un formulario de contacto en el que pides el nombre y el correo electrónico para que puedan contactar contigo y de igual forma tienes un servicio de lista de suscriptores (con Mailchimp, igual que yo). Así que me temo que sí debes observar lo que se dice en mi post. Un saludo.

      1. Alfredo Sanz

        Hola!

        Estoy leyendo vuestra conversación y siento no estar de acuerdo con la respuesta.

        En el artículo 2.2a de la Lopd se establece que dicha Ley NO será de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

        Por lo tanto, si tu blog es una actividad a título personal , no tienes obligación de cumplir la Lopd, del mismo modo que tampoco tienes obligación de, por ejemplo, registrar ante la AEPD los ficheros de tu agenda de contactos familiares y personales.

        En mi caso, por ejemplo, si creo un blog o página web de informática con consejos y trucos sobre internet con la idea de contactar con la gente para venderles mis servicios profesionales, tengo que cumplir la Ley, pero si creo un blog sobre la cría del caracol arbolado porque mi hobbie es criar caracoles y quiero compartirlo con el resto de la comunidad, no hace falta que cumpla con ella.

        Otra cosa sería que mañana decidiera ponerme a vender trampas para caracoles, en cuyo caso mi blog pasaría a ser una actividad comercial y sí tendría que cumplir la Lopd. Entonces, además de adaptar mi blog a la Ley, tendría que ponerme en contacto con todos los usuarios ya registrados para comunicarles los cambios, identificarme como responsable del fichero, solicitar su consentimiento para tratar sus datos con fines comerciales e indicarles dónde poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.

        1 saludico.

        1. NANDO OLCINA

          Hola Alfredo:
          Muchas gracias por tu comentario. Interesante debate.
          Obviamente y como no puede ser de otra manera, estoy de acuerdo contigo en cuanto a la excepción del artículo 2.2 a de la LOPD. La cuestión es, ¿qué debemos entender por actividades exclusivamente personales o domésticas?
          Desde mi humilde punto de vista, remitir newsletter o enlaces de los nuevos artículos de un blog no es una mera actividad personal o doméstica.
          Si lo único que quiero es compartir mis contenidos con la comunidad, no necesito para ello recabar datos personales de ningún tipo. Por ello, recomiendo tener una política de privacidad en un blog en el caso de que recabemos datos personales.

      2. Fernando

        no contestaste la pregunta en el caso de que solo publique un email de contacto es necesario cumplir con la lopd

        1. Nando

          Hola Fernando:
          Lamento no haber contestado a eso. Si lo que me consultas es si tenemos que cumplir con la LOPD cuando sólo recabamos la dirección de correo electrónico de un sucriptor a nuestro blog, la respuesta es sí, porque la dirección de correo electrónico se considera según la Agencia Española de Protección de Datos como un dato personal.
          Un saludo

        2. Nando

          Disculpa Fernando:
          No entendí inicialmente tu consulta. Si en vez de tener un formulario de contacto o de suscriptor, únicamente publicamos nuestra dirección de correo electrónico por si alguien quiere contactarnos, entiendo que no sería necesario disponer de una política de privacidad. Un saludo

          1. Delia

            Pero si la gente nos envía emails, ¿no estamos almacenando su nombre y cuenta de email en nuestra cuenta de email? O en nuestro ordenador, en caso de que utilicemos la descarga de correo. Gmail por ejemplo va creando la agenda de contactos y eso sería un fichero de datos personales. Si utilizamos esos datos personales para comunicarnos en relación a nuestra web, ¿no deberíamos cumplir también la ley?

          2. Nando

            Hola Delia:
            Pues sí, efectivamente, tienes toda la razón, deberíamos cumplir la ley si efectivamente tratamos los datos personales de alguna manera. Obviamente si borro los datos y no los voy a tener en un fichero organizado, pues no existe tratamiento y por tanto no debo disponer de una política de privacidad.
            Así pues, y por cerrar el círculo, debemos disponer una política de privacidad si recabamos datos personales y los tratamos de alguna manera (el simple almacenamiento es una forma de tratamiento).
            Lo que quería aclarar en mi comentario a Fernando (y creo que no lo hice con mucha fortuna) es que por el mero hecho de publicar nuestra dirección de correo electrónico como forma de que nos contacten no nos obligará a tener una política de privacidad si no tratamos datos personales.
            Un saludo

  4. JESUS RUIZ

    Hola Nando,

    Fantástica tu página.

    He llagado aquí buscando información sobre la LOPD para mi blog.
    La verdad es que es el tema de los ficheros es un poco laborioso y si que te quería preguntar como en el caso que comentas, los encargados de tratamientos. En concreto si tenemos nuestra página en un hosting y las newsletters por ejemplo en mailchimp, ¿deberíamos inscribir 2 ficheros distintos?, pues es que he visto que solo deja poner en el fichero de inscripción para la AGPD un solo encargado :S.

    Tengo otra duda, que no sé si os ha pasado, si tuviéramos que gestionar los comentarios nosotros, seguramente tendríamos que guardar IP y datos varios, como datos personales que influyen en la protección de datos. Pero ¿si utilizamos disqus? Tendría que verificar si utilizando este sistema se guarda algún dato de información personal en nuestro sistema o directamente se delega todo en disqus y lo que más me inquieta… ¿Disqus sería un nuevo encargado de tratamiento?¿Un nuevo fichero para la agpd?

    Saludos

    1. NANDO OLCINA

      Hola Jesús:
      Encantado de que te haya gustado el blog. Muchísimas gracias.
      En cuanto a las consultas que me planteas, voy a intentar darte una respuesta:
      Ante la AEPD hay que declarar tantos ficheros como manejemos. Así, puede que tengas sólo un fichero de datos personales sólo de clientes o de usuarios de tu web. También puede que tengas otro fichero de proveedores personas físicas o de empleados, o de lo que se te ocurra.
      Si Mailchimp tiene acceso a cualquiera de esos ficheros, eso no implica que tengas que declarar dos ficheros de clientes, por ejemplo, sino que tendrás que declarar un sólo fichero, el de clientes, siendo Mailchimp tu encargado de tratamiento.
      Es cierto que la AEPD sólo te deja poner un encargado de tratamiento en el formulario de declaración de ficheros, por lo que deberás hacer constar todos los encargados de tratamiento que tengas en tu Documento de Seguridad (que es una especie de guía de las medidas de seguridad adoptadas en relación con los ficheros que manejas y que estás obligado a tener, aunque no se entrega a la AEPD, salvo que te lo pidan por una inspección).
      En cuanto a lo de Disqus, en tanto que Disqus tiene acceso a los datos personales que recabas a través de la web paftra gestionar el servicio de comentarios, también sería un encargado de tratamiento con acceso a tu fichero de clientes.
      La LOPD lo que exige es que firmemos un contrato (que puede ser electrónico) con los encargados de tratamiento, exigiéndoles las obligaciones que la normativa de protección de datos nos impone como responsables de tratamiento.
      Espero haber aclarado tus dudas. En caso contrario, ya sabes donde encontrarme.
      Un saludo, y gracias de nuevo por leerme

      1. JESUS RUIZ

        Muchas gracias a ti 😉

      2. JESUS RUIZ

        Muchas gracias por tus respuestas, son de agradecer. A raíz de lo anterior, ¿suele bastar con darse de alta en mailchimp o disqus, y aceptar sus condiciones para dar por formalizado el contrato, o hay que pedírselo formalmente/explicitamente?

        1. NANDO OLCINA

          Hola Jesús:
          Se considera que ofrecen garantías adecuadas las entidades estadounidenses adheridas a los principios de ““Puerto Seguro”” (safe harbor), de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. La lista de entidades estadounidenses adheridas a los principios de “Puerto Seguro” está disponible en http://www.export.gov/safeharbor. Tanto Mailchimp como Disqus, se encuentran adheridas a este convenio de puerto seguro.

          En cualquier caso, es recomendable leer el “aviso legal” de cada proveedor que contrates, para comprobar que su política de privacidad es compatible con la nacional. Se trata de que en la contratación con esos servicios se contemplen esas cláusulas de salvaguardia de los datos que manejan.
          Para mi blog, hablé con la AEPD y declaré que existía una transferencia internacional de datos a la empresa titular de Mailchimp. En la AEPD, la conocían perfectamente y una vez identificada registraron mi fichero de usuarios y/o suscriptores del blog.
          Un saludo

  5. Juan Carlos

    Hola Nando,
    Gran artículo para un tema tan delicado.

    Te quería hacer una consulta.
    Tengo muchas páginas que tienen formularios de contacto, tanto blogs, webs y otras páginas que alquilo a clientes.
    La verdad es que se me hace un poco tedioso dar de alta más de 200 inscripciones en la Agencia.
    ¿Se podría hacer una genérica que abarque todas estas páginas o tengo que ir una por una?
    O, si son blogs que pertenecen a una misma red, vale con dar de alta sólo una inscripción para esa Red… o hay que dar de alta blog a blog?

    ¡Muchas gracias por tu ayuda!

    Saludos

    1. NANDO OLCINA

      Hola Juan Carlos:
      Muchas gracias por tu visita al blog y por tu comentario.
      En relación con tu consulta, no habría problema a inscribir un único fichero ante la AEPD, que fuera por ejemplo, de clientes o suscriptores, siempre y cuando el responsable de tratamiento de esos datos recabados a través de tus diferentes blogs sea el mismo.
      El problema que veo a eso es si se llegara a producir un cambio en la titularidad del blog, si podrías identificar desde qué blog has recabado los datos personales. en caso de un cambio en el responsable de tratamiento habría que comunicarlo a los usuarios y a la propia AEPD.
      Espero haber aclarado tu duda.
      Un saludo

  6. NANDO OLCINA

    Estimado Juan Carlos:
    Eso ya depende de cómo vayas a gestionar tu base de datos. Lo más importante es que sepas identificar cada usuario con la web en la que cuando te proporcionó sus datos, dio el consentimiento al tratamiento de los mismos y a su inclusión en un fichero.

  7. Gorka

    Hola Nando,
    Un artículo muy útil para todos los que tengan en mente abrir un blog. Es un tema en el que la mayoría no se para a pensar a la hora de abrir un blog pero puede resultar en más dolores de cabeza que otra cosa si lo ignoras. Ahora bien, sin alejarnos mucho del tema, en el supuesto caso de hacer un directorio de blogs, podría registrar sus direcciones web y los nombres de sus blogs sólo con el consentimiento tácito, sin consentimiento expreso? (es decir, informándoles mediante los medios que ofrecen los bloggers para contactar con ellos de que voy a registrarlos y que tienen la posibilidad de borrarse en caso de no estar conformes PERO no esperando a obtener una respuesta por su parte). No he podido encontrar información respecto a estos casos en concreto y es algo que tengo en mente, pero quiero estar al 100% seguro del tema legal. Gracias

    1. NANDO OLCINA

      Hola Gorka:
      Muchas gracias por tu visita al blog y por tus comentarios.
      En relación con la consulta que me planteas, entiendo que podrías hacer un directorio de blogs, en tanto en cuanto sólo enlaces a esos blogs y no reproduzcas ningún texto o contenido de tales blogs. No obstante, es recomendable pedir autrización. En cuanto a las direcciones de correo electrónico, es otro tema. Las dirección que publica el blogger tiene una determinada finalidad (ponerse en contacto con él, ejercitar los derechos ARCO). No obstante, el hecho de que aparezcan publicadas en un blog, no quiere decir que pueda utilizarlas cualquier tercero. Internet, por muy raro que pueda parecer, no tiene la consideración de “fuente accesible al público”, por lo que se requerirá el consentimiento de los afectados para utilizar esas direcciones en la forma que refieres.
      En cualquier caso, mi consejo es que pidas autorización a los bloggers tanto para realizar un directorio en el que incluyas los blogs, como para incluir sus direcciones de contacto, para evitar tener que lidiar con situaciones indeseadas.
      Un saludo

  8. Pablo

    Hola Nando!

    Primero de todo felicitarte por tu blog y por el artículo.

    Quería realizarte una cuestión al respecto:

    En el caso hipotético de que tenga una web presencial (En la cual expongo los contenidos de mi actividad profesional), muy básica, que cuenta con un formulario de contacto que opera con .POST en vez de con .GET, es decir, no almacena los datos en mi Base de Datos, sino que ejecuta un PHP automático que envía un mail a mi cuenta de correo con los dato que se hayan cumplimentado….¿sería necesario cumplir con la LOPD o en este caso estaría exento?

    Muchas gracias de antemano.

    Un cordial saludo

    1. NANDO OLCINA

      Hola Pablo:
      Gracias a ti por la visita. En el caso que expones, sería algo parecido a que alguien te mande un mail directamente con sus datos personales para una determinada finalidad. En ese caso no sería necesario el consentimiento previo del cliente y/o usuario si vas a utilizar los datos para una finalidad concreta que se desprende de la información que consta en la web.
      No obstante, si deberás tener un fichero inscrito y dependiendo de lo que vayas a hacer con esos datos (si vas a utilizarlo para algo más que para atender su solicitud o si los vas a ceder a un tercero), deberás hacer constar una política de privacidad que el usuario en ese caso sí debe aceptar.
      Por tanto, en cada caso hay que analizar la cuestión y valorar qué obligaciones de la LOPD y de su Reglamento de desarrollo hay que cumplir.
      Un saludo y gracias de nuevo

  9. Juanma Díaz Jiménez

    Hola Nando muy interesante tu blog, hasta hoy no lo conocía. He leido tu post y los comentarios de tus lectores, buscando una situación similar a lo que me ocurre, pero no me parece haberla encontrado.
    Estoy desarrollando un blog de noticias en el que los usuarios pretendemos que se logueen o registren a traves de sus cuentas de Facebook.
    Básicamente, el registro será para que puedan comentar las noticias. En este caso, ¿siendo facebook quien maneje los datos de nuestros usuarios, tendremos nosotros que darnos de alta y crear pues los ficheros? ¿Cómo nos afecta la LOPD?

    Un saludo y muchas gracias

    1. NANDO OLCINA

      Muchas gracias, Juanma. Un placer tenerte por aquí.
      En relación con tu consulta y en tanto en cuanto trates de alguna manera los datos de los usuarios de tu blog, ya sea almacenándolos o utilizándolos para realizar tareas de mail marketing, por ejemplo, deberás dar de alta un fichero de usuarios ante la AEPD, pues si decides la finalidad para la que vas a usar esos datos, tendrás la consideración de responsable de tratamiento.
      Espero haber aclarado tu duda.
      Un saludo

  10. abogados gijon

    muy interesante el articulo, felicitaciones

    1. Nando

      Muchas gracias. Un saludo

  11. Maria

    Buenos días,
    Soy nueva en esto…
    Estoy pensando en abrir un blog y quiero cumplir todos la LOPD…
    Veo que hay que inscribir un fichero en la AEPD, pero no sé cuál el fichero… Cómo identificarlo…
    Tendré formularios de contacto
    Gracias por su ayuda
    Me encanta el blog

    1. Nando

      Hola María:
      Muchas gracias por tu visita ;). Deberás identificar los ficheros de datos personales que vayas a tratar. Por ejemplo, si sólo vas a disponer de un fichero de datos personales de suscriptores al blog, bastará con que des de alta ese fichero ante la AEPD. Si por el contrario, vas a tratar otro tipo de datos personales como empleados, proveedores o de curriculums vitae, también tendrás que dar de alta esos ficheros.
      Un saludo

      1. Maria

        Nando muchas gracias por tu rapidez!

        Yo voy a recoger mails de gente que me pida información pero no sé identificar el fichero…

        Cómo sé cual es el fichero?

        1. Nando

          Hola de nuevo, María:
          El fichero será todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
          Por ello, el fichero que debes dar de alta ante la AEPD se podría llamar algo así como por ejemplo “usuarios o clientes de la web http://www.nombredelaweb.com“. La inscripción del fichero consiste en comunicar a la AEPD el tipo de fichero de datos que vas a tratar y cumplir con las obligaciones de la LOPD y su Reglamento en materia de información, obtención del consentimiento para comunicaciones comerciales, medidas de seguridad, etc.
          Por ejemplo, un fichero puede ser incluso la bandeja de entrada de tu correo electrónico, pues ahí se almacenan los datos personales de las personas que te piden información.
          ¿Me he explicado ahora mejor? En cualquier caso puedes encontrar más información en cuanto a la inscripción de ficheros en la web de la AEPD. Te dejo un enlace https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/index-ides-idphp.php

          1. Maria

            Muchísimas gracias!!!!

  12. Mauri

    Saludos Nando,

    Excelentísisisimo post, de verdad… Estos temas siempre son peliagudos y gracias a este tipo de información se nos aclaran las dudas.

    No obstante me ha surgido una duda, muy tonta sí, pero he de plantearla.

    En mi caso tengo una web, con el aviso legal, la política de cookies y la política de privacidad. Me falta por tanto notificar el alta de ficheros. ¿Pero no entiendo, quien almacena ese fichero de datos? Nosotros solamente recabamos información por si alguien quiere dejar un comentario, pero ese fichero lo tengo yo, o lo tiene mi proveedor de hosting…

    Se que será una pregunta realmente absurda, pero no sé como llegar a ese fichero que almacena datos.

    Abrazos

    1. Nando

      Buenos días, Mauri:
      La pregunta que planteas no es en absoluto tonta ni absurda. De hecho es la mar de interesante.
      Verás, habrá que ver dónde se almacenan los datos de las personas que introducen sus datos en el formulario de contacto de tu web. En cualquier caso, tú eres el Responsable de tratamiento de los datos que recabas a través de tu web, pues decides cuál es la finalidad a la que vas a dedicar esos datos.
      Si se almacenan en el servidor de tu proveedor de hosting, sigues siendo el Responsable de Tratamiento, y tu proveedor de hosting será un Encargado de Tratamiento, en tanto en cuanto tiene acceso a esos datos personales que trata (aunque sólo los almacene) siguiendo las instrucciones del Responsable de Tratamiento (en este caso, tú mismo). Pasa lo mismo en el caso de proveedores de herramientas de Mailmarketing como Mailchimp, Mailrelay, Acumbamail o cualquier otro, se recaban datos a través de tu web que se almacenan en los servidores de estos proveedores de servicios. Son también, por tanto Encargados de Tratamiento.
      También puede suceder que el contacto que tienes en la web genere un correo electrónico a la dirección de correo que hayas configurado y que por tanto te vayan llegando mails de las diferentes personas que desean contactar contigo. No se está generando un fichero de forma automática, pero puedes ir guardando y ordenando esos datos personales. En ese caso estás generando un fichero.
      Esta es la definición de Fichero de la Agencia Española de Protección de Datos: “todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.
      En cualquier caso, tu bandeja de entrada ya podría ser considerada como un fichero, porque de alguna manera puedes sistematizar la búsqueda de esos contactos.
      No olvides que también deberías disponer de un documento de seguridad.
      Espero haber aclarado tus dudas.
      Muchas gracias por tus comentarios.
      Un saludo

      1. Mauri

        Muchísimas gracias por tu comentario, Nando.

        Espero verte en el World Quondos Record,

        ¡Saludos!

        1. Nando

          Gracias a ti, por visitarnos. Por supuesto que nos vemos en el World Quondos Record. Un saludo!

  13. Luisa López Morales

    Hola! Enhorabuena por tu blog, que ha sido todo un descubrimiento. Sobre este tema me surgen dos dudas que te comento:

    – ¿qué ocurre si tenemos una web (o un blog) alojada en un servidor en España pero que está escrita en inglés y pensada para usuarios y clientes extranjeros, de países europeos? Es decir, tendría información personal (básicamente emails) de usuarios británicos, alemanes, austríacos, suecos, etc y sólo ocasionalmente podría entrar algún email de algún español interesado, pero insistio el mercado español no sería el mercado objetivo.

    – mi segunda duda es sobre el tipo de seguridad que debería mantener con el fichero de datos de usuarios/clientes que contactan, ya sea a través de un formulario de contacto o directamente de un email de contacto que aparezca en la web/blog de un empresario autónomo. ¿Es suficiente una copia de seguridad? ¿Asegurar que nadie más tiene acceso a los datos?
    Muchas gracias y saludos cordiales.

    1. Nando

      Estimada Luisa:
      La Ley española te será aplicable siempre y cuando tú estés establecida en España. Esto es, que la gestión y la dirección de la actividad se lleve desde España independientemente de dónde esté alojada la web.
      En cualquier caso, si diriges tus servicios a destinatarios europeos, deberás cumplir la normativa europea en materia de protección de datos, consumo, comercio electrónico, que como podrás imaginar es muy similar a la española, por cuanto esta última está armonizada con las normas europeas.
      En cuanto a la seguridad, la normativa en materia de protección de datos dispone que deben implantarse medidas de índole
      técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su
      alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza
      de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio
      físico o natural. Por lo tanto comunicaciones cifradas de los datos, control sobre las personas que acceden a las bases de datos, modificar contraseñas regularmente… Cualquier media que sirva a estos fines.
      Un saludo

  14. Carlos

    Hola Nando, estoy muy pez en esto, pero soy informático y estoy en mi actividad quiero incluir la de crear páginas web. ¿Qué ficheros tengo que dar de alta y qué más exigencias y responsabilidades me pueden surgir?

    Gracias de antemano,

    un saludo

    1. Nando

      Hola Carlos:
      Pues para cumplir con la LOPD, en tanto en cuanto serás responsable de tratamiento de los datos personales que recabes en el desarrollo de tu actividad, deberás de cumplir con las siguientes obligaciones:
      Dar de alta los ficheros de datos personales que manejes: Es decir, si los datos personales que recabas son de clientes, deberás dar de alta un fichero denominado clientes. Si tienes proveedores personas físicas, deberás dar de alta un fichero de proveedores. Si tienes empleados, un fichero de empleados,etc.
      Por otra parte debes disponer de una buena política de privacidad en la que informes a los que puedan proporcionarte sus datos de todo lo que exige la LOPD y su Reglamento: Finalidad de los datos,si van a ser cedidos o no a terceros, quién es el responsable del fichero, dónde pueden ejercitar los derechos ARCO, medidas de seguridad implantadas, etc. Muy importante implementar una funcionalidad para que los usuarios de tu web acepten esa política de privacidad antes de proporcionarte sus datos y por supuesto poder acreditarlo.
      Debes disponer también de un Documento de Seguridad, que es una especie de manual en el que se recogen las medidas de índole técnica y organizativa para proteges los datos que tratas.
      Si vas a tener acceso a los datos personales que recaban tus clientes, serías un encargado de tratamiento y tus clientes deberían firmar contigo un contrato en el que te exijan que vas a usar los datos para una concreta finalidad y que son ellos los que deciden sobre el uso que hacen de los datos (artículo 12 LOPD). En caso contrario, podrías ser considerado responsable de tratamiento de esos datos, aunque no los recabes tú directamente.
      A grandes rasgos estas son las obligaciones que debes cumplir, pero para estar totalmente tranquilo, lo mejor es que contrates un servicio de implementación de la LOPD, pues es difícil poderte dar una respuesta más exhaustiva mediante una respuesta a tu comentario.

      El riesgo que asumes por el incumplimiento de tales obligaciones es la posibilidad de que te impongan sanciones, en algunos casos bastante importantes.

      Un saludo

  15. Jaime J.

    busco y busco y nada, no doy con la respuesta exacta…

    TENGO QUE REGISTRAR LA IP DE LOS USUARIOS? si o no?

    No soy experto, y tengo una web donde la gente puede poner comentarios, y yo no registré de muchos comentarios esa IP.

    Estaba obligado?
    mil gracias de forma anticipada.

    1. Nando

      Estimado Jaime:
      Gracias a ti, por tu comentario y por la visita al blog.
      Efectivamente, la IP está considerada por la Agencia Española de Protección de Datos como un dato personal. Por tanto, debes dar de alta el fichero correspondiente a clientes, suscriptores y/o usuarios web y especificar en la política de privacidad de tu web que se recaba la dirección IP del usuario.
      No sé si te he respondido, porque no sé muy bien a qué te refieres con registrar la IP. No sé si es que no recabas la IP o si te refieres a registrar la IP ante la AEPD, lo que como te digo, no sería necesario, sino que formaría parte del fichero “usuarios web” que sí tendrías que dar de alta ante la AEPD.
      Un saludo

    2. Carlos

      Muchas gracias, así lo haré

  16. Alicia

    Hola Nando,
    En mi caso a nivel profesional debo disponer de un fichero no automatizado con nivel alto de seguridad puesto que trabajo con datos de salud. Este fichero lo tengo claro y estará unicamente a mi nombre.
    Por otro lado contamos con nuestra agenda también no automatizada en la que anotamos los horarios de los clientes que atendemos y disponemos de un teléfono de contacto. ¿Es necesario declarar un fichero para la agenda o si los datos que anotemos en la agenda no permiten la identificación del cliente no sería necesario? ¿Deberíamos dar de alta mi compañera y yo cada una un fichero a nuestro nombre para una misma agenda o podría incluirla como responsable de tratamiento en mi fichero “agenda” sin un contrato laboral entre ambas (somos autónomas independientes compartiendo despacho)?
    Mi principal duda leyendo tu post es que ahora estamos lanzando la web y me gustaría contar con un formulario de contacto y con una suscripción al blog (mediante mailchimp). Entonces ¿necesito inscribir dos ficheros 1 para formulario de contacto y otro para suscriptores o con declarar un mismo fichero “clientes de la web” bastaría? ¿Debería considerarlo también con un nivel de seguridad alto o podría ser básico? ¿Debería desarrollar otro documento de seguridad a parte del que tengamos como profesionales de la salud o podría declarar un fichero como no automatizado de seguridad alta y otro como automatizado de seguridad basica?
    En el caso de la web ambas tenemos acceso a los correos que nos lleguen por la web y por la suscripción ¿ Deberíamos dar las dos de alta los mismos ficheros y ponernos de encargadas o responsables de tratamiento a la otra o cómo sería más sencillo hacerlo?
    Creo que he excedido la cantidad de preguntas límite 🙂 Contesta lo que puedas
    Gracias!!

    1. Nando

      Hola Alicia:
      En ningún caso te has excedido de las preguntas límite. No hay límite de preguntas ;). Lo que ocurre es que estás planteando cuestiones que dependen mucho de qué datos recabéis, cómo lo hagáis y qué tratamiento les vayáis a dar posteriormente a esos datos recabados.
      Me explico: Si recabáis datos de nombre y apellidos para proporcionar información sobre temas de salud, sin más, es decir, sin que tengáis datos de nivel alto asociados a esas personas, bastaría con tener un fichero de nivel básico. No obstante, si luego vais a almacenar datos de salud asociados a esas personas, obviamente el fichero pasaría a nivel alto.
      El tema es si podéis tener claramente diferenciados los ficheros de clientes de nivel alto y los ficheros de clientes de de nivel básico, puesto que el tratamiento que puedes realizar en un caso u otro es diferente.
      En cuanto a lo de si tenéis que dar de alta un fichero tú y otro tu compañera, pues pasa un poco lo mismo: Dependerá de quién sea la responsable de tratamiento. Pero por lo que cuentas parece que sois las dos responsables, por lo que quizá sería recomendable que cada una tuviera su fichero y declarara como encargada de tratamiento a la otra.
      No obstante, Alicia, dado lo delicado de lo que me planteas, te aconsejo que te pongas en manos de un profesional para hacer una auditoría, pues como ya he comentado a algún otro lector, es un tema delicado y una mínima inversión puede ahorrarte más de un disgusto.
      Ojo con el uso de Mailchimp, porque es una transferencia internacional de datos, en cuanto que MailChimp tiene sus servidores en EE.UU. y en la actualidad no existe cobertura legal para esas transferencias internacionales, a pesar de que existe un acuerdo político denominado Privacy Shield, que debe plasmarse en alguna norma. Sólo podrías realizar esas transferencias mediando una Autorización de la AEPD (con los trámites que ello implica) o contando con el consentimiento expreso de tus clientes.
      En definitiva, te aconsejo que te asesores bien, pues creo que merece la pena. Un saludo

  17. Estefania Montó

    Un artículo realmente interesante, actualmente en el mundo online debemos cumplir con las exigencias que nos impone la LOPD a nivel de blogs y redes. Ahora inclusive un dominio o una IP es considerada como dato de carácter personal. Tenía varias lagunas sobre este tema en concreto, de los blogs, y me ha ayudado mucho para entender ciertas cosas. Muchas gracias por compartir y un saludo.

    1. Nando

      Muchas gracias a ti, Estefania por pasarte por aquí.Un saludo

  18. JAVIER

    Buenas!!! Tengo una duda respecto a este tema. Actualmente tengo MailChimp para la lista de suscriptores. Además en la web nos comentan en los post. Con estos datos, ¿qué es lo que tengo que hacer?

    Muchas gracias y un saludo.

    1. Nando

      Hola Javier:
      Te hago un resumen, porque tu pregunta se presta a una explicación más extensa.
      Pues habrá que ver si Mail Chimp se adhiere al Privacy Shield, que como sabrás es el sustituto del Safe Harbor, que quedó invalidado por la Sentencia del TJUE de 6 de octubre de 2015.
      En caso de que no estén adheridos al Privacy Shield, habrá que pedir una autorización a la AEPD para poder realizar transferencias internacionales a EE.UU. con todo lo que ello implica (Aportar un contrato con Mail Chimp, traducido y apostillado, etc.) o recabar el consentimiento inequívoco e informado del usuario a la transferencia internacional de datos.
      Obviamente deberás disponer de una política de privacidad en la que informes al usuario la finalidad para la que se recaban sus datos, a quién se los cedes, quién es el responsable de tratamiento y dónde puede ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición).
      Un saludo

  19. jorge

    Hola.

    Tengo una duda bastante tonta pero es que no encuentro la respuesta. Yo tengo un blog que llevo para una empresa, pero ni tenemos lista de suscriptores, ni permitimos comentarios.

    Lo que si tenemos es un formulario de contacto donde cualquier persona nos puede dejar sus datos personales. Eso nos llega al correo eletrónico, para que podamos responderle. El correo se elimina pasado un tiempo y esos datos solo se utilizan para proporcionar respuesta al cliente.

    ¿Se consideraría eso un fichero de datos que deba estar inscrito ante la Agencia de Protección de Datos?

    Saludos y gracias

    1. Nando

      Hola Jorge:
      Ninguna duda es tonta ;). Gracias a ti por la visita al blog.
      Verás, se entiende como fichero “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Por tanto, los datos que se almacenan en el correo electrónico (Outlook, por ejemplo) es un fichero de datos que debe ser dado de alta ante la AEPD, a menos que sea para un uso personal o doméstico.
      Espero haber aclarado tu duda.
      Un saludo

      1. jorge

        Muchas gracias, me ha quedado perfectamente claro. 😉

  20. Roberto

    Buen día Nando.
    Ante todo unirme a las felicitaciones y agradecimientos por tu post, y por las respuestas. Tengo una consulta que me parece no has contestado en ocasiones anteriores. Soy consciente de que debo inscribir los datos, sin embargo no soy (actualmente) autónomo pues no tengo, ni tendré en los primeros meses, actividad comercial relacionada con mi web. La pregunta es si puedo dar de alta un fichero sin ser autónomo, porque si no estoy percibiendo ingresos resulta un poco extraño para mi tener que pagar una cuota mensual de autónomo para poder cumplir con un requisito, pero bueno ya me dirás cómo funciona esto. El propósito de mi fichero es poder enviar comunicaciones periódicas y ocasionales a los suscriptores.
    ¡Gracias!
    Roberto

    1. Nando

      Hola Roberto:
      Muchas gracias a ti, hombre.
      A ver, que me estás mezclando aquí dos términos ;). Tendrás que cumplir con la LOPD si recabas datos personales que no utilices para una finalidad doméstica o privada. Así pues, aunque no obtengas ingresos, tendrás que ragistrar los ficheros, disponer de una política de privacidad y de un documento de seguridad.
      Lo de darte de alta como autónomo, cuando realices una actividad de forma habitual que genere ingresos.
      Un saludo

      1. Roberto

        Genial. Entonces no es necesario lo de darse de alta como autónomo, al menos mientras no se generen ingresos. ¡Muchas gracias! Ha sido de mucha utilidad el post y tus respuestas.

        1. Nando

          Me alegro mucho, Roberto. Un saludo

  21. Sergio

    Hola,

    Primero de todo y al igual que los demás “auxiliados” de la web quería agradecerte tu atención y felicitarte por tus comentarios claros y pedagógicos.

    Te comento mis dudas:

    Quiero montar un blog, a nivel particular, no como empresa. Sería un blog sobre historia y referencias bibliográficas. No se contempla ni registro de usuarios, ni comentarios, ni suscriptores. La plataforma sería WordPress.com.
    Mis dudas han surgido porque hace unos cuatro años monté una empresa y en ese caso si que inscribí un fichero y redacté el documento de seguridad.
    Mis dudas son porque al estar alojado en WordPress.com, no tengo acceso al servidor y no se cuál es el fichero y ni siquiera se donde están alojados los blogs y me parece difícil declarar como encargados del tratamiento a los de WordPress. ¿Sería obligatorio estar inscrito en la AEPD?

    Respecto del aviso de cookies quería saber como me afectaría pues no tendría Google Analytics instalado dado que en los blogs gratuitos no se permite.

    Saludos y gracias!!

    1. Nando

      Hola Sergio:
      Gracias por contactar. Si no recabas datos personales no importa si WordPress es o no encargado de tratamiento, por cuanto no tiene acceso a ningún dato personal.
      En caso de que recabes datos personales, Worpress.com te presta un servicio de alojamiento del blog, y efectivamente sería un encargado de tratamiento y efectivamente deberías tenerlo como tal en tu documento de seguridad.
      Si no obtienes rendimientoS con el blog, no tienes que advertir del uso de cookies, porque no le aplica el artículo 22.2 de la LSSI, al no ser un prestador de servicios de la sociedad de la información.
      Un saludo

      1. Sergio

        Hola Nando,

        Gracias por tu respuesta.

        Yo pensaba exactamente igual respecto a las cookies pero he leído por ahí que afecta a los blogs de los particulares porque por ejemplo el simple hecho de enlazar a una red social, como los botones “me gusta” o “twitear” ya requiere del uso de cookies y el usuario tendría que aceptarlas.

        Respecto de la LOPD cómo se declara que WordPress trata datos, en caso que sea así, y cómo redactas un documento de seguridad si no tienes acceso al servidor y por tanto no puedes saber donde se ubica ni las claves de acceso.

        Saludos.

        1. Nando

          Hola Sergio:
          Debo insistir, si no generas ingresos directos o indirectos, no eres un prestador de servicios y no te aplica la LSSI, por lo que no tienes que avisar de la utilización de cookies, aunque sean de plugins sociales.
          Wordpress.com puede tener acceso a los datos que recabes a través del blog siempre y cuando aloje los mismos en su servidor. Es como cuando contratas un servicio de hosting para una web en WordPress.org. Tu documneto de seguridad debe contemplar que worpress.com es encargado de tratamiento.
          Un saludo

  22. Roberto

    Otra pregunta Nando. Al inscribir ficheros, e indicar que se utiliza MailChimp, existe una “transferencia internacional” a una empresa que ya ha sido aprobada, por lo que en la inscripción del fichero solicita un “Código de autorización”. ¿En dónde se puede encontrar ese código?
    Gracias una vez más

    1. Nando

      Hola Roberto:
      Te cuento: Según la política de privacidad de Mail Chimp (De la empresa The Rocket Science Group) se han adherido al Privacy Shield, que es un acuerdo entre Europa y EE.UU. que viene a sustituir al Safe Harbor. Por lo que en principio, sería una transferencia internacional lícita sin necesidad de autorización por parte de la AEPD.
      Salvo que esté equivocado, no necesitarías ningún código de autorización.
      Lo que pasa es que si consultas la lista de empresas adheridas al Privacy Shield en este enlace https://www.privacyshield.gov/list, no aparece The Rocket Science Group.
      Si MailChimp no está adherida, efectivamente debería autorizarse la transferencia internacional (o que el usuario consienta de forma expresa a la misma), y entiendo que es la propia agencia la que proporciona ese código de autorización.
      Si no te convence mi respuesta, te animo a que llames a la AEPD.
      Un saludo

      1. Roberto

        Creo que intentaré contactarles entonces. Entiendo que están adheridos, pero en la guía de la AEPD (
        https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/documentacion/common/pdfs/Guia_rapida_NOTA.pdf) en la última parte hablan de un código, pero no me he animado a iniciar el proceso porque quiero tener todo a mano para hacerlo con paso firme, pero llamaré a la agencia tal como sugieres. Muchas gracias de nuevo.

      2. Roberto

        Perdona, entre lo que comentas, dices que una opción es que el usuario “consienta de forma expresa”, ¿cómo se hace esto? He llamado a la agencia y me dice que “en principio” entiende que no es necesario ningún código, pero tal como indicas en tu comentario, no encuentro ni a “The Rocket Science Group” ni a MailChimp en la lista, entonces estoy un poco descolocado y no sé bien por donde ir. Muchas gracias de nuevo, ¡y disculpa por ser tan pesado!

        1. Nando

          Hola Roberto:
          Pues una opción sería una casilla de aceptación a la transferencia internacional de datos con un enlace en el que se explicara por qué motivo se transfieren esos datos.
          No obstante, si te lees a política de privacidad de MailChimp (http://mailchimp.com/legal/privacy/)incluyen la mención de que están adheridos al Privacy Shield. Quizá es cuestión de tiempo que aparezcan en el listado de https://www.privacyshield.gov/list
          Un saludo

  23. silvia

    Hola, gracias por escribir sobre este tema.
    Tenemos una pagina con IP en Italia pero la utilizamos en Canarias….necesitamos hacer todo este proceso NOTA?
    En Italia con tener la informativa sobre los cookies y el utilizo de datos personales ya està.

    Mil gracias

    Silvia

    1. Nando

      Hola Silvia:
      Gracias a ti por la consulta.
      Te transcribo lo que dice el artículo 2.1. de la Ley Orgánica de Protección de Datos:
      Artículo 2 Ámbito de aplicación
      1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que
      los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público
      y privado.
      Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
      a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un
      establecimiento del responsable del tratamiento.
      b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la
      legislación española en aplicación de normas de Derecho Internacional público.
      c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el
      tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con
      fines de tránsito.
      Así pues, en mi opinión sí debéis de dar de alta los ficheros.
      Sin embrago esta exigencia no se contempla en el nuevo Reglamento de Protección de Datos Europeo, por lo que es posible que a partir de mayo de 2018, o incluso antes, si así se estableciera, no haga falta dar de alta los ficheros. No obstante, ahora mismo sigue siendo una exigencia de la normativa española.
      Un saludo

  24. Luis

    Hola Nando, muy didáctico tu blog. Tengo un gran problema de privacidad con mis datos personales y no sé cómo interpretar la ley en este sentido. Todos mis datos personales (nombre, apellidos, domicilio completo, nº de tf., correo electrónico [solo falta el número de mi cuenta y el pin de la tarjeta] etc.) aparecen publicados en varias webs que registran la titularidad de dominios y hosting. El caso es que yo no he dado consentimiento expreso a estas empresas para publicar mis datos personales y además ponen en serio riesgo mi seguridad y privacidad. Habiendo consultado a la empresa donde registré mi dominio y hosting me comunican que oculte mis datos en el área de clientes (llamado whois) y que ellos no se hacen responsables de la gestión ilícita que hagan las demás empresas. Tras la ocultación de mis datos en el “whois” continúan publicados en las citadas webs y siguen sumándose otras. Lo he notificado a estas empresas por varias vías y me ignoran ¿si he publicado mis datos personales de alguna forma por desconocimiento o error forman parte del dominio público o tengo derecho a denunciar?. Muchas gracias.

    1. Nando

      Hola Luís:
      Tú eres el dueño de tus datos personales y dispones del derecho a acceder, rectificar, cancelar y/U oponerte al tratamiento de tus datos en cualquier momento y siempre que esté justificado. Por ello, puedes requerir a esas webs para que eliminen tus datos, e incluso acudir ante la Agencia Española de Protección de Datos.
      Un saludo

  25. Jordi

    Gracias Nando! he consultado muchos blogs y me he intentado leer las leyes, y tu pagina es la que me ha inspirado para por fin hacer la pagina de mi blog de politica de privacidad y ajustar mis plugins! Gracias por tu estupendo trabajo!
    Supongo que no te importara que imite como funciona tu pagina en este sentido
    Aquí tienes un seguidor!
    Y si teneis dudas acerca de soluciones en cirugía plastica, pues ya sabeis… visitar la el blog que estoy arrancando con mi pareja (palomamejina.com) de cirugía plástica.

    Saludos

    Jordi

    1. Nando

      Hola Jordi:
      Muchas gracias por tus amables comentarios. Un saludo y mucha suerte con tu blog.

  26. Juan Marcos

    Hola Nando, da gusto gente como tu y que clarito, dos cosas, primero una pregunta, si una empresa ofrece servicios de alojamiento a sus clientes, pero a su vez ella utiliza una empresa para alojar lo suyo y lo de sus clientes (vamos intermediaria), que fichero tiene que declarar ante la AGPD, aparte de los normales osea uno de clientes, ¿tendría que declarar otro de alojamientos o de bases de datos?.
    Segundo un comentario, me he leído todos los comentarios del 2016 (muy interesante), para tener que cumplir no es necesario solamente un beneficio económico, con tener un beneficio de imagen comercial, vale para tener que cumplir con ella.
    Muchas gracias, un saludo enorme

    1. Nando

      Hola Juan Marcos, te contesto a las preguntas al revés de como me las formulas, primero a la última:

      1) La LSSI-CE refiere en su Anexo “Definiciones”: “El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios”. Por lo que un blog corporativo en el que no se vende nada, pero promociona la imagen de una empresa, también debe cumpir con la LSSI-CE.

      2) Entiendo que debe declarar un fichero de clientes, pero tanto en su política de privacidad, como en su documento de seguridad deberá hacer constar la circunstancia de que utiliza a un hosting reseller como encargado de tratamiento, al que deberá exigirle que le firme un contrato conforme al artículo 12 de la LOPD.

      Muchas gracias a ti. Un saludo

  27. Juan Marcos

    Perdona, para cumplir con la LSSIce

    1. Nando

      OK, entendido 😉

Deja un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *