Blog

Tengo un blog, ¿debo cumplir la LOPD?

La respuesta a esta pregunta, es afirmativa. Por supuesto que debo cumplir las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD) y del reglamento que lo desarrolla (en adelante RLOPD).

La reacción de muchos bloggers puede ser: “¿En serio, estoy obligado a cumplir las normas sobre proteción de datos? ¡Vamos, si se trata de un blog en el que expreso mi opinión! ¡No hará falta nada de eso!”

No hará falta nada de eso si simplemente publicáis posts, entradas o artículos, pero si mediante los formularios de suscripción al blog, de contacto o por cualquier otro medio a través de vuestro blog recabáis y manejáis datos personales, debéis observar las previsiones legales en materia de protección de datos.

Aquí os dejo un breve glosario de términos de la LOPD que os puede servir para consultar algún término mientras leéis el post:

Glosario2

 ¿Qué es un dato personal?

Según la definición de la LOPD, un dato personal comprende cualquier información concerniente a persona física identificada o identificable. Por tanto debe existir la concurrencia de un doble elemento: la existencia de una información o dato y que dicho dato pueda vincularse de forma directa o indirecta a una persona física identificada o identificable.

¿Entonces son datos personales todos los datos pertenecientes a personas físicas? Sí, pero con los matices que veremos a continuación con respecto a las exclusiones del régimen de aplicación de la normativa de protección de datos.

Se excluyen del régimen de aplicación de la normativa de protección de datos y por tanto no serán considerados datos personales:

  • Aquellos datos referidos a personas jurídicas (empresas, sociedades, asociaciones, organismos)
  • Los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en empresas (personas jurídicas) como nombre y apellidos, funciones o puestos desempeñados, la dirección postal o electrónica, teléfono y número de fax profesionales.
  • Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

Por tanto, se someten al régimen de protección los datos personales que pertenezcan a personas físicas, siempre y cuando tales datos no puedan ser considerados profesionales, comerciales o propios del tráfico mercantil que desarrollen como empresarios individuales o como empleados de una empresa.

¿El correo electrónico tiene la consideración de dato personal?

Si el conjunto de signos o caracteres que componen una dirección de correo electrónico permiten la vinculación directa o indirecta con una persona física, efectivamente tiene la consideración de dato personal.

Así que atención a esto: la utilización de una dirección de e-mail sin consentimiento de su titular vulnera la normativa sobre protección de datos y se podría denunciar ante la Agencia.

¿Recabo datos personales a través de mi blog?

Si sois bloggers o blogueros, seguramente queráis obtener suscriptores a los que poder comunicar una nueva publicación, por lo que a tal fin lo que estamos haciendo es recabar el nombre, los apellidos y la dirección electrónica de usuarios y por tanto estamos teniendo acceso a datos personales, pues corresponden a personas físicas, y nos permiten identificarlos perfectamente y los almacenamos de una manera organizada.

A ese conjunto de datos organizados la LOPD lo denomina fichero. Por tanto, como autores o creadores de un blog, seremos responsables de los ficheros de datos que recabemos.

¿Qué es un encargado de tratamiento?

Para entendernos, es cualquier persona que tiene acceso a los datos personales recabados y los maneja por alguna razón justificada. Por ejemplo, puede que vosotros seáis los autores del blog, pero que un tercero ordene y almacene los contactos o los suscriptores. Ese tercero, aunque sea vuestro/a novio/a y tengáis plena confianza en él/ella, es un  encargado de tratamiento a los efectos de la ley y por tanto debe ser identificado como tal.

¿Los proveedores de servicios de cloud computing o de servicios de envío de mails y newsletters son encargados de tratamiento?

Suele ser muy habitual contratar con alguna empresa un servicio de envío de mails y newsletters tipo Mailchimp, Codeeta, Aweber… Esas empresas son a todos los efectos encargados de tratamiento de datos personales toda vez que tratan, es decir, manejan los datos personales, recabados a través de vuestro blog. Lo mismo ocurre con las empresas de hosting que en su caso hayáis contratado para alojar vuestro blog, pues puede darse la circunstancia de que los datos personales obtenidos se almacenen en los servidores de dichas empresas.

En estos casos, debéis firmar un contrato con esas empresas de cloud computing o gestión de newsletters, ya sea de forma digital o manuscrita, siendo suficiente con el “acepto las condiciones” de alta en el servicio. Pero antes de contratar (firmar el contrato o aceptar el alta en el servicio) es conveniente leer los términos de uso y condiciones generales de esos servicios, para estar seguros de que esas empresas se comprometen a ofrecer las debidas garantías de protección de datos y que si no lo hacen, puedo pedirles responsabilidades.

¿Qué ocurre en los casos en los que ese prestador de servicios está fuera del territorio del Espacio Económico Europeo?

Sencillamente que estamos ante un supuesto de transferencia internacional de datos, ya sea una cesión o comunicación de datos,  o bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. En esos casos será necesaria una Autorización del Director de la Agencia Española de Protección de Datos (cuyo trámite puede durar en torno a tres meses), salvo que los datos se transfieran a un país que ofrezca un nivel adecuado de protección o a empresas de Estados Unidos que se hayan adherido al Convenio de Puerto Seguro (Safe Harbor).

Hasta la fecha han sido declarados como países con nivel adecuado de protección los siguientes:

Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey,Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda.

Debo recordar que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dicho anteriormente.

¿Qué es el Convenio de Puerto Seguro (Safe Harbor)?

Muchos proveedores de cloud computing están en Estados Unidos, y allí no existe una ley de protección de datos, sino normas dispersas propias de su sistema jurídico; por ello  la Unión Europea aprobó con arreglo a la Directiva 95/46/CE (que constituye el texto de referencia en Europa en materia de protección de datos personales) el Convenio de Puerto Seguro (safe harbor), que consiste en una serie de principios que regulan una protección de datos “adecuada” de acuerdo a lo definido en dicha directiva, y a los que se someten las empresas norteamericanas que se adhieren al mismo.

Las entidades o empresas estadounidenses adheridas a Safe Harbor tienen reconocido por la Comisión Europea un adecuado nivel de protección (Decisión2000/520/CE). Por lo tanto, esta Transferencia Internacional no requiere autorización del Director de la AGPD.  El principio de transferencias internacionales de Safe Harbor limita al prestador de servicios la subcontratación a otras entidades adheridas a Safe Harbor mediante un contrato que exija el cumplimiento de los principios de protección de datos (existe un encadenamiento de garantías).

Pero, ¡ojo! el responsable de tratamiento de los datos debe autorizar la subcontratación y conocer la identidad de los subencargados. Habrá que intentar por tanto, tratar de conocer la identidad y ubicación de los mismos. Soy consciente de que en algunos casos eso será prácticamente imposible.

La empresa estadounidense Mailchimp por ejemplo  está adherida al convenio safe harbor. Se puede ver en su aviso legal.

safeharbor

Las obligaciones que impone la LOPD (también para bloggers):

Calidad de los datos: Los datos sólo de podrán recoger si son adecuados, pertinentes y no excesivos, debiéndose utilizar para la finalidad para la que fueron recabados. Deben ser exactos y puestos al día, cancelándose cuando hayan dejado de ser necesarios

Deber de información: Debe informarse a los usuarios a los que se soliciten sus datos personales de la existencia de un fichero de datos personales y de para qué se va a utilizar tal fichero. De igual forma se deberá informar de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, así como de la identidad y dirección del responsable.

Consentimiento y comunicación de datos. El tratamiento de datos personales requerirá el consentimiento previo del interesado o afectado. Dicho consentimiento debe cumplir los siguientes requisitos:

  • Debe ser libre, esto es, que no se encuentre viciado según las disposiciones del Código Civil.
  • Debe ser específico, por cuanto debe prestarse a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable de tratamiento.
  •  Debe ser informado, siendo necesario para su obtención informar al interesado de:
  • La existencia de un fichero en el que se van a incorporar los datos del interesado y del tratamiento de ese fichero.
  • Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean formuladas en un cuestionario y de las consecuencias de la obtención de los datos o de la negativa a proporcionarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
  • De la identidad y dirección del responsable de tratamiento.

Estas advertencias deben constar de manera legible en los formularios de recogida de datos y en el Aviso Legal, como explico en mi post “Cómo hacer el aviso legal de tu web”.

  • Debe ser inequívoco, por cuanto no puede haber duda de la prestación del consentimiento.

Deber de secreto: el responsable del fichero y quienes intervengan en el tratamiento de los datos personales están obligados al secreto profesional respecto de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o responsable del fichero.

Seguridad: el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, y su tratamiento o acceso no autorizado.
Merecería de un post a parte la elaboración del llamado Documento de Seguridad, que consiste en  un documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal.
Su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento. Es obligatoria su elaboración, pero se trata de un documento interno de cada responsable (no se registra en la AGPD).
La propia AGPD ha elaborado una guía para su elaboración.

Inscripción.- Por otra parte, cualquier fichero de datos de carácter personal deberá ser notificado por su responsable a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.

Cómo puedo inscribir mis ficheros?

Para realizar la inscripción inicial de cualquier fichero, y en su caso la posterior modificación o supresión de la inscripción, en la web de la Agencia Española de Protección de datos (www.agpd.es) podéis encontrar el formulario electrónica que denominan NOTA (Notificaciones Telemáticas de la AEPD) a través del cual podéis solicitar la inscripción de ficheros en el Registro General de Protección de Datos.

Este formulario os permite la presentación de forma gratuita de notificaciones a través de Internet con certificado de firma electrónica. En caso de no disponer de un certificado de firma electrónica, también podéis presentar la notificación a través de Internet, para lo cual deberá remitir a la Agencia la Hoja de solicitud correspondiente al envío realizado debidamente firmada. Por último, podéis optar por el modo de presentación en soporte papel.

¿Y vuestro blog cumple con la normativa de protección de datos?¿Habéis inscrito vuestros ficheros?

191 Comments

  1. Miriam Garcia

    Muy interesante el artículo porque soy megatorpe y nunca consigo
    aclararme con ese lenguaje… pero sigo sin tener claro mi caso. Yo
    tengo un blog y solo solicito el correo electrónico para que el personal
    reciba mis posts por correo. Estoy obligada a incluir una advertencia
    en el formulario de que no voy a usar los correos para fines malvados? Y
    estoy obligada a notificar a la AGPD del fichero de Feedburner?

    1. NANDO OLCINA

      Hola Miriam.Muchas gracias por leerme y por dejar tu comment. La respuesta es sí, debes advertir en el formulario en el que recabas datos que esos datos van a ser incorporados a un fichero de la que eres responsable y su finalidad, pero también cómo tus usuarios pueden ejercitar sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) sobre el tratamiento de sus datos personales. Si dicha finalidad es sólo para informarles de futuras publicaciones, pues para eso, si es para otra cosa, pues también hay que informarlo (puedes ver como lo hago yo en el blog), tanto en la pestaña de contacto, como en el mail que envío a los que se suscriben al blog – pero para eso tendrías que suscribirte 😉 -. En cualquier caso, te recomiendo que te leas mi post “Cómo hacer el aviso legal de tu web”, puede aclararte un poco más todo esto.
      En cuanto a lo que llamas fichero de Feedburner, en realidad el fichero de suscriptores es tuyo, tú eres la responsable. Feedburner es el proveedor de servicios que maneja esos datos porque tú les has contratado a tal fin. La Ley llama a estos proveedores “encargados de tratamiento” y lo que debes reflejar en tu solicitud de inscripción es que Feedburner es el encargado de tratamiento de tu fichero.
      Espero haber resuelto tu duda.
      Muchas gracias y espero verte pronto por aquí.

      1. Miriam Garcia

        Me la has resuelto del todo y menos mal, porque no tengo nada hecho. Pues como le dé a la AGPD por darse un garbeo por los blogs… se van a inflar a meternos puros. Y mil gracias, me ha sido utilísimo.

        1. NANDO OLCINA

          No te preocupes por eso, Miriam. La AGPD no actúa de oficio, esto es, actúa si alguien te denuncia ante ellos. Por eso será poco probable, pero nunca está de más tenerlo todo en orden. Un placer, gracias a ti. Un saludo

  2. Isabel Romero Carretero

    Muy completo el artículo. Pero… tengo una duda. Si el fichero es algo vivo y los suscriptores pueden ir cambiando a lo largo del tiempo, ¿hay que actualizar el fichero en la agpd? ¿cada cuanto tiempo?.
    GRACIAS

    1. NANDO OLCINA

      Hola Isabel. Muchas gracias . En cuanto a la duda que me planteas: en realidad lo que hacemos con la inscripción de ficheros es notificar a la Agencia de Protección de datos el tipo de ficheros que manejamos. De lo contrario, imagina el servidor que deberían utilizar para almacenar todos los datos personales recabados por todas las empresas. Por ello, sí debemos ir actualizando los datos de los interesados en nuestro fichero de forma interna (principio de calidad de los datos), pero no tenemos que comunicar esas actualizaciones a la Agencia. Espero haber resuelto tu duda. Un saludo

  3. Joel Rodríguez

    Buenos días.

    Me ha encantado el artículo, pero tengo una duda. Yo tengo el siguiente blog:

    http://elartedelprogramador.com

    Y no tengo ningún formulario de contacto ni de suscripción. Simplemente, en algunas páginas del blog (como las de quién soy o la de licencias) digo que, si quieren contactar conmigo, pueden enviarme un email a elartedelprogramador@gmail.com. ¿Estaría obligado a cumplir con la LOPD en este caso?

    Saludos.

    1. NANDO OLCINA

      Hola Joel, muchísimas gracias por tu comentario. Siento contestarte tan tarde porque no sé qué ha pasado con la aplicación que me gestiona los comentarios y no había recibido notificación de tu comentario.Mil disculpas!
      He entrado en tu web para comprobar si recabas datos y he podido verificar que tu web debe cumplir con la LOPD, pues tienes un formulario de contacto en el que pides el nombre y el correo electrónico para que puedan contactar contigo y de igual forma tienes un servicio de lista de suscriptores (con Mailchimp, igual que yo). Así que me temo que sí debes observar lo que se dice en mi post. Un saludo.

      1. Alfredo Sanz

        Hola!

        Estoy leyendo vuestra conversación y siento no estar de acuerdo con la respuesta.

        En el artículo 2.2a de la Lopd se establece que dicha Ley NO será de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

        Por lo tanto, si tu blog es una actividad a título personal , no tienes obligación de cumplir la Lopd, del mismo modo que tampoco tienes obligación de, por ejemplo, registrar ante la AEPD los ficheros de tu agenda de contactos familiares y personales.

        En mi caso, por ejemplo, si creo un blog o página web de informática con consejos y trucos sobre internet con la idea de contactar con la gente para venderles mis servicios profesionales, tengo que cumplir la Ley, pero si creo un blog sobre la cría del caracol arbolado porque mi hobbie es criar caracoles y quiero compartirlo con el resto de la comunidad, no hace falta que cumpla con ella.

        Otra cosa sería que mañana decidiera ponerme a vender trampas para caracoles, en cuyo caso mi blog pasaría a ser una actividad comercial y sí tendría que cumplir la Lopd. Entonces, además de adaptar mi blog a la Ley, tendría que ponerme en contacto con todos los usuarios ya registrados para comunicarles los cambios, identificarme como responsable del fichero, solicitar su consentimiento para tratar sus datos con fines comerciales e indicarles dónde poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.

        1 saludico.

        1. NANDO OLCINA

          Hola Alfredo:
          Muchas gracias por tu comentario. Interesante debate.
          Obviamente y como no puede ser de otra manera, estoy de acuerdo contigo en cuanto a la excepción del artículo 2.2 a de la LOPD. La cuestión es, ¿qué debemos entender por actividades exclusivamente personales o domésticas?
          Desde mi humilde punto de vista, remitir newsletter o enlaces de los nuevos artículos de un blog no es una mera actividad personal o doméstica.
          Si lo único que quiero es compartir mis contenidos con la comunidad, no necesito para ello recabar datos personales de ningún tipo. Por ello, recomiendo tener una política de privacidad en un blog en el caso de que recabemos datos personales.

      2. Fernando

        no contestaste la pregunta en el caso de que solo publique un email de contacto es necesario cumplir con la lopd

        1. Nando

          Hola Fernando:
          Lamento no haber contestado a eso. Si lo que me consultas es si tenemos que cumplir con la LOPD cuando sólo recabamos la dirección de correo electrónico de un sucriptor a nuestro blog, la respuesta es sí, porque la dirección de correo electrónico se considera según la Agencia Española de Protección de Datos como un dato personal.
          Un saludo

        2. Nando

          Disculpa Fernando:
          No entendí inicialmente tu consulta. Si en vez de tener un formulario de contacto o de suscriptor, únicamente publicamos nuestra dirección de correo electrónico por si alguien quiere contactarnos, entiendo que no sería necesario disponer de una política de privacidad. Un saludo

          1. Delia

            Pero si la gente nos envía emails, ¿no estamos almacenando su nombre y cuenta de email en nuestra cuenta de email? O en nuestro ordenador, en caso de que utilicemos la descarga de correo. Gmail por ejemplo va creando la agenda de contactos y eso sería un fichero de datos personales. Si utilizamos esos datos personales para comunicarnos en relación a nuestra web, ¿no deberíamos cumplir también la ley?

          2. Nando

            Hola Delia:
            Pues sí, efectivamente, tienes toda la razón, deberíamos cumplir la ley si efectivamente tratamos los datos personales de alguna manera. Obviamente si borro los datos y no los voy a tener en un fichero organizado, pues no existe tratamiento y por tanto no debo disponer de una política de privacidad.
            Así pues, y por cerrar el círculo, debemos disponer una política de privacidad si recabamos datos personales y los tratamos de alguna manera (el simple almacenamiento es una forma de tratamiento).
            Lo que quería aclarar en mi comentario a Fernando (y creo que no lo hice con mucha fortuna) es que por el mero hecho de publicar nuestra dirección de correo electrónico como forma de que nos contacten no nos obligará a tener una política de privacidad si no tratamos datos personales.
            Un saludo

  4. JESUS RUIZ

    Hola Nando,

    Fantástica tu página.

    He llagado aquí buscando información sobre la LOPD para mi blog.
    La verdad es que es el tema de los ficheros es un poco laborioso y si que te quería preguntar como en el caso que comentas, los encargados de tratamientos. En concreto si tenemos nuestra página en un hosting y las newsletters por ejemplo en mailchimp, ¿deberíamos inscribir 2 ficheros distintos?, pues es que he visto que solo deja poner en el fichero de inscripción para la AGPD un solo encargado :S.

    Tengo otra duda, que no sé si os ha pasado, si tuviéramos que gestionar los comentarios nosotros, seguramente tendríamos que guardar IP y datos varios, como datos personales que influyen en la protección de datos. Pero ¿si utilizamos disqus? Tendría que verificar si utilizando este sistema se guarda algún dato de información personal en nuestro sistema o directamente se delega todo en disqus y lo que más me inquieta… ¿Disqus sería un nuevo encargado de tratamiento?¿Un nuevo fichero para la agpd?

    Saludos

    1. NANDO OLCINA

      Hola Jesús:
      Encantado de que te haya gustado el blog. Muchísimas gracias.
      En cuanto a las consultas que me planteas, voy a intentar darte una respuesta:
      Ante la AEPD hay que declarar tantos ficheros como manejemos. Así, puede que tengas sólo un fichero de datos personales sólo de clientes o de usuarios de tu web. También puede que tengas otro fichero de proveedores personas físicas o de empleados, o de lo que se te ocurra.
      Si Mailchimp tiene acceso a cualquiera de esos ficheros, eso no implica que tengas que declarar dos ficheros de clientes, por ejemplo, sino que tendrás que declarar un sólo fichero, el de clientes, siendo Mailchimp tu encargado de tratamiento.
      Es cierto que la AEPD sólo te deja poner un encargado de tratamiento en el formulario de declaración de ficheros, por lo que deberás hacer constar todos los encargados de tratamiento que tengas en tu Documento de Seguridad (que es una especie de guía de las medidas de seguridad adoptadas en relación con los ficheros que manejas y que estás obligado a tener, aunque no se entrega a la AEPD, salvo que te lo pidan por una inspección).
      En cuanto a lo de Disqus, en tanto que Disqus tiene acceso a los datos personales que recabas a través de la web paftra gestionar el servicio de comentarios, también sería un encargado de tratamiento con acceso a tu fichero de clientes.
      La LOPD lo que exige es que firmemos un contrato (que puede ser electrónico) con los encargados de tratamiento, exigiéndoles las obligaciones que la normativa de protección de datos nos impone como responsables de tratamiento.
      Espero haber aclarado tus dudas. En caso contrario, ya sabes donde encontrarme.
      Un saludo, y gracias de nuevo por leerme

      1. JESUS RUIZ

        Muchas gracias a ti 😉

      2. JESUS RUIZ

        Muchas gracias por tus respuestas, son de agradecer. A raíz de lo anterior, ¿suele bastar con darse de alta en mailchimp o disqus, y aceptar sus condiciones para dar por formalizado el contrato, o hay que pedírselo formalmente/explicitamente?

        1. NANDO OLCINA

          Hola Jesús:
          Se considera que ofrecen garantías adecuadas las entidades estadounidenses adheridas a los principios de ““Puerto Seguro”” (safe harbor), de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. La lista de entidades estadounidenses adheridas a los principios de “Puerto Seguro” está disponible en http://www.export.gov/safeharbor. Tanto Mailchimp como Disqus, se encuentran adheridas a este convenio de puerto seguro.

          En cualquier caso, es recomendable leer el “aviso legal” de cada proveedor que contrates, para comprobar que su política de privacidad es compatible con la nacional. Se trata de que en la contratación con esos servicios se contemplen esas cláusulas de salvaguardia de los datos que manejan.
          Para mi blog, hablé con la AEPD y declaré que existía una transferencia internacional de datos a la empresa titular de Mailchimp. En la AEPD, la conocían perfectamente y una vez identificada registraron mi fichero de usuarios y/o suscriptores del blog.
          Un saludo

  5. Juan Carlos

    Hola Nando,
    Gran artículo para un tema tan delicado.

    Te quería hacer una consulta.
    Tengo muchas páginas que tienen formularios de contacto, tanto blogs, webs y otras páginas que alquilo a clientes.
    La verdad es que se me hace un poco tedioso dar de alta más de 200 inscripciones en la Agencia.
    ¿Se podría hacer una genérica que abarque todas estas páginas o tengo que ir una por una?
    O, si son blogs que pertenecen a una misma red, vale con dar de alta sólo una inscripción para esa Red… o hay que dar de alta blog a blog?

    ¡Muchas gracias por tu ayuda!

    Saludos

    1. NANDO OLCINA

      Hola Juan Carlos:
      Muchas gracias por tu visita al blog y por tu comentario.
      En relación con tu consulta, no habría problema a inscribir un único fichero ante la AEPD, que fuera por ejemplo, de clientes o suscriptores, siempre y cuando el responsable de tratamiento de esos datos recabados a través de tus diferentes blogs sea el mismo.
      El problema que veo a eso es si se llegara a producir un cambio en la titularidad del blog, si podrías identificar desde qué blog has recabado los datos personales. en caso de un cambio en el responsable de tratamiento habría que comunicarlo a los usuarios y a la propia AEPD.
      Espero haber aclarado tu duda.
      Un saludo

  6. NANDO OLCINA

    Estimado Juan Carlos:
    Eso ya depende de cómo vayas a gestionar tu base de datos. Lo más importante es que sepas identificar cada usuario con la web en la que cuando te proporcionó sus datos, dio el consentimiento al tratamiento de los mismos y a su inclusión en un fichero.

  7. Gorka

    Hola Nando,
    Un artículo muy útil para todos los que tengan en mente abrir un blog. Es un tema en el que la mayoría no se para a pensar a la hora de abrir un blog pero puede resultar en más dolores de cabeza que otra cosa si lo ignoras. Ahora bien, sin alejarnos mucho del tema, en el supuesto caso de hacer un directorio de blogs, podría registrar sus direcciones web y los nombres de sus blogs sólo con el consentimiento tácito, sin consentimiento expreso? (es decir, informándoles mediante los medios que ofrecen los bloggers para contactar con ellos de que voy a registrarlos y que tienen la posibilidad de borrarse en caso de no estar conformes PERO no esperando a obtener una respuesta por su parte). No he podido encontrar información respecto a estos casos en concreto y es algo que tengo en mente, pero quiero estar al 100% seguro del tema legal. Gracias

    1. NANDO OLCINA

      Hola Gorka:
      Muchas gracias por tu visita al blog y por tus comentarios.
      En relación con la consulta que me planteas, entiendo que podrías hacer un directorio de blogs, en tanto en cuanto sólo enlaces a esos blogs y no reproduzcas ningún texto o contenido de tales blogs. No obstante, es recomendable pedir autrización. En cuanto a las direcciones de correo electrónico, es otro tema. Las dirección que publica el blogger tiene una determinada finalidad (ponerse en contacto con él, ejercitar los derechos ARCO). No obstante, el hecho de que aparezcan publicadas en un blog, no quiere decir que pueda utilizarlas cualquier tercero. Internet, por muy raro que pueda parecer, no tiene la consideración de “fuente accesible al público”, por lo que se requerirá el consentimiento de los afectados para utilizar esas direcciones en la forma que refieres.
      En cualquier caso, mi consejo es que pidas autorización a los bloggers tanto para realizar un directorio en el que incluyas los blogs, como para incluir sus direcciones de contacto, para evitar tener que lidiar con situaciones indeseadas.
      Un saludo

  8. Pablo

    Hola Nando!

    Primero de todo felicitarte por tu blog y por el artículo.

    Quería realizarte una cuestión al respecto:

    En el caso hipotético de que tenga una web presencial (En la cual expongo los contenidos de mi actividad profesional), muy básica, que cuenta con un formulario de contacto que opera con .POST en vez de con .GET, es decir, no almacena los datos en mi Base de Datos, sino que ejecuta un PHP automático que envía un mail a mi cuenta de correo con los dato que se hayan cumplimentado….¿sería necesario cumplir con la LOPD o en este caso estaría exento?

    Muchas gracias de antemano.

    Un cordial saludo

    1. NANDO OLCINA

      Hola Pablo:
      Gracias a ti por la visita. En el caso que expones, sería algo parecido a que alguien te mande un mail directamente con sus datos personales para una determinada finalidad. En ese caso no sería necesario el consentimiento previo del cliente y/o usuario si vas a utilizar los datos para una finalidad concreta que se desprende de la información que consta en la web.
      No obstante, si deberás tener un fichero inscrito y dependiendo de lo que vayas a hacer con esos datos (si vas a utilizarlo para algo más que para atender su solicitud o si los vas a ceder a un tercero), deberás hacer constar una política de privacidad que el usuario en ese caso sí debe aceptar.
      Por tanto, en cada caso hay que analizar la cuestión y valorar qué obligaciones de la LOPD y de su Reglamento de desarrollo hay que cumplir.
      Un saludo y gracias de nuevo

  9. Juanma Díaz Jiménez

    Hola Nando muy interesante tu blog, hasta hoy no lo conocía. He leido tu post y los comentarios de tus lectores, buscando una situación similar a lo que me ocurre, pero no me parece haberla encontrado.
    Estoy desarrollando un blog de noticias en el que los usuarios pretendemos que se logueen o registren a traves de sus cuentas de Facebook.
    Básicamente, el registro será para que puedan comentar las noticias. En este caso, ¿siendo facebook quien maneje los datos de nuestros usuarios, tendremos nosotros que darnos de alta y crear pues los ficheros? ¿Cómo nos afecta la LOPD?

    Un saludo y muchas gracias

    1. NANDO OLCINA

      Muchas gracias, Juanma. Un placer tenerte por aquí.
      En relación con tu consulta y en tanto en cuanto trates de alguna manera los datos de los usuarios de tu blog, ya sea almacenándolos o utilizándolos para realizar tareas de mail marketing, por ejemplo, deberás dar de alta un fichero de usuarios ante la AEPD, pues si decides la finalidad para la que vas a usar esos datos, tendrás la consideración de responsable de tratamiento.
      Espero haber aclarado tu duda.
      Un saludo

  10. abogados gijon

    muy interesante el articulo, felicitaciones

    1. Nando

      Muchas gracias. Un saludo

  11. Maria

    Buenos días,
    Soy nueva en esto…
    Estoy pensando en abrir un blog y quiero cumplir todos la LOPD…
    Veo que hay que inscribir un fichero en la AEPD, pero no sé cuál el fichero… Cómo identificarlo…
    Tendré formularios de contacto
    Gracias por su ayuda
    Me encanta el blog

    1. Nando

      Hola María:
      Muchas gracias por tu visita ;). Deberás identificar los ficheros de datos personales que vayas a tratar. Por ejemplo, si sólo vas a disponer de un fichero de datos personales de suscriptores al blog, bastará con que des de alta ese fichero ante la AEPD. Si por el contrario, vas a tratar otro tipo de datos personales como empleados, proveedores o de curriculums vitae, también tendrás que dar de alta esos ficheros.
      Un saludo

      1. Maria

        Nando muchas gracias por tu rapidez!

        Yo voy a recoger mails de gente que me pida información pero no sé identificar el fichero…

        Cómo sé cual es el fichero?

        1. Nando

          Hola de nuevo, María:
          El fichero será todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
          Por ello, el fichero que debes dar de alta ante la AEPD se podría llamar algo así como por ejemplo “usuarios o clientes de la web http://www.nombredelaweb.com“. La inscripción del fichero consiste en comunicar a la AEPD el tipo de fichero de datos que vas a tratar y cumplir con las obligaciones de la LOPD y su Reglamento en materia de información, obtención del consentimiento para comunicaciones comerciales, medidas de seguridad, etc.
          Por ejemplo, un fichero puede ser incluso la bandeja de entrada de tu correo electrónico, pues ahí se almacenan los datos personales de las personas que te piden información.
          ¿Me he explicado ahora mejor? En cualquier caso puedes encontrar más información en cuanto a la inscripción de ficheros en la web de la AEPD. Te dejo un enlace https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/index-ides-idphp.php

          1. Maria

            Muchísimas gracias!!!!

  12. Mauri

    Saludos Nando,

    Excelentísisisimo post, de verdad… Estos temas siempre son peliagudos y gracias a este tipo de información se nos aclaran las dudas.

    No obstante me ha surgido una duda, muy tonta sí, pero he de plantearla.

    En mi caso tengo una web, con el aviso legal, la política de cookies y la política de privacidad. Me falta por tanto notificar el alta de ficheros. ¿Pero no entiendo, quien almacena ese fichero de datos? Nosotros solamente recabamos información por si alguien quiere dejar un comentario, pero ese fichero lo tengo yo, o lo tiene mi proveedor de hosting…

    Se que será una pregunta realmente absurda, pero no sé como llegar a ese fichero que almacena datos.

    Abrazos

    1. Nando

      Buenos días, Mauri:
      La pregunta que planteas no es en absoluto tonta ni absurda. De hecho es la mar de interesante.
      Verás, habrá que ver dónde se almacenan los datos de las personas que introducen sus datos en el formulario de contacto de tu web. En cualquier caso, tú eres el Responsable de tratamiento de los datos que recabas a través de tu web, pues decides cuál es la finalidad a la que vas a dedicar esos datos.
      Si se almacenan en el servidor de tu proveedor de hosting, sigues siendo el Responsable de Tratamiento, y tu proveedor de hosting será un Encargado de Tratamiento, en tanto en cuanto tiene acceso a esos datos personales que trata (aunque sólo los almacene) siguiendo las instrucciones del Responsable de Tratamiento (en este caso, tú mismo). Pasa lo mismo en el caso de proveedores de herramientas de Mailmarketing como Mailchimp, Mailrelay, Acumbamail o cualquier otro, se recaban datos a través de tu web que se almacenan en los servidores de estos proveedores de servicios. Son también, por tanto Encargados de Tratamiento.
      También puede suceder que el contacto que tienes en la web genere un correo electrónico a la dirección de correo que hayas configurado y que por tanto te vayan llegando mails de las diferentes personas que desean contactar contigo. No se está generando un fichero de forma automática, pero puedes ir guardando y ordenando esos datos personales. En ese caso estás generando un fichero.
      Esta es la definición de Fichero de la Agencia Española de Protección de Datos: “todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.
      En cualquier caso, tu bandeja de entrada ya podría ser considerada como un fichero, porque de alguna manera puedes sistematizar la búsqueda de esos contactos.
      No olvides que también deberías disponer de un documento de seguridad.
      Espero haber aclarado tus dudas.
      Muchas gracias por tus comentarios.
      Un saludo

      1. Mauri

        Muchísimas gracias por tu comentario, Nando.

        Espero verte en el World Quondos Record,

        ¡Saludos!

        1. Nando

          Gracias a ti, por visitarnos. Por supuesto que nos vemos en el World Quondos Record. Un saludo!

  13. Luisa López Morales

    Hola! Enhorabuena por tu blog, que ha sido todo un descubrimiento. Sobre este tema me surgen dos dudas que te comento:

    – ¿qué ocurre si tenemos una web (o un blog) alojada en un servidor en España pero que está escrita en inglés y pensada para usuarios y clientes extranjeros, de países europeos? Es decir, tendría información personal (básicamente emails) de usuarios británicos, alemanes, austríacos, suecos, etc y sólo ocasionalmente podría entrar algún email de algún español interesado, pero insistio el mercado español no sería el mercado objetivo.

    – mi segunda duda es sobre el tipo de seguridad que debería mantener con el fichero de datos de usuarios/clientes que contactan, ya sea a través de un formulario de contacto o directamente de un email de contacto que aparezca en la web/blog de un empresario autónomo. ¿Es suficiente una copia de seguridad? ¿Asegurar que nadie más tiene acceso a los datos?
    Muchas gracias y saludos cordiales.

    1. Nando

      Estimada Luisa:
      La Ley española te será aplicable siempre y cuando tú estés establecida en España. Esto es, que la gestión y la dirección de la actividad se lleve desde España independientemente de dónde esté alojada la web.
      En cualquier caso, si diriges tus servicios a destinatarios europeos, deberás cumplir la normativa europea en materia de protección de datos, consumo, comercio electrónico, que como podrás imaginar es muy similar a la española, por cuanto esta última está armonizada con las normas europeas.
      En cuanto a la seguridad, la normativa en materia de protección de datos dispone que deben implantarse medidas de índole
      técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su
      alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza
      de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio
      físico o natural. Por lo tanto comunicaciones cifradas de los datos, control sobre las personas que acceden a las bases de datos, modificar contraseñas regularmente… Cualquier media que sirva a estos fines.
      Un saludo

  14. Carlos

    Hola Nando, estoy muy pez en esto, pero soy informático y estoy en mi actividad quiero incluir la de crear páginas web. ¿Qué ficheros tengo que dar de alta y qué más exigencias y responsabilidades me pueden surgir?

    Gracias de antemano,

    un saludo

    1. Nando

      Hola Carlos:
      Pues para cumplir con la LOPD, en tanto en cuanto serás responsable de tratamiento de los datos personales que recabes en el desarrollo de tu actividad, deberás de cumplir con las siguientes obligaciones:
      Dar de alta los ficheros de datos personales que manejes: Es decir, si los datos personales que recabas son de clientes, deberás dar de alta un fichero denominado clientes. Si tienes proveedores personas físicas, deberás dar de alta un fichero de proveedores. Si tienes empleados, un fichero de empleados,etc.
      Por otra parte debes disponer de una buena política de privacidad en la que informes a los que puedan proporcionarte sus datos de todo lo que exige la LOPD y su Reglamento: Finalidad de los datos,si van a ser cedidos o no a terceros, quién es el responsable del fichero, dónde pueden ejercitar los derechos ARCO, medidas de seguridad implantadas, etc. Muy importante implementar una funcionalidad para que los usuarios de tu web acepten esa política de privacidad antes de proporcionarte sus datos y por supuesto poder acreditarlo.
      Debes disponer también de un Documento de Seguridad, que es una especie de manual en el que se recogen las medidas de índole técnica y organizativa para proteges los datos que tratas.
      Si vas a tener acceso a los datos personales que recaban tus clientes, serías un encargado de tratamiento y tus clientes deberían firmar contigo un contrato en el que te exijan que vas a usar los datos para una concreta finalidad y que son ellos los que deciden sobre el uso que hacen de los datos (artículo 12 LOPD). En caso contrario, podrías ser considerado responsable de tratamiento de esos datos, aunque no los recabes tú directamente.
      A grandes rasgos estas son las obligaciones que debes cumplir, pero para estar totalmente tranquilo, lo mejor es que contrates un servicio de implementación de la LOPD, pues es difícil poderte dar una respuesta más exhaustiva mediante una respuesta a tu comentario.

      El riesgo que asumes por el incumplimiento de tales obligaciones es la posibilidad de que te impongan sanciones, en algunos casos bastante importantes.

      Un saludo

  15. Jaime J.

    busco y busco y nada, no doy con la respuesta exacta…

    TENGO QUE REGISTRAR LA IP DE LOS USUARIOS? si o no?

    No soy experto, y tengo una web donde la gente puede poner comentarios, y yo no registré de muchos comentarios esa IP.

    Estaba obligado?
    mil gracias de forma anticipada.

    1. Nando

      Estimado Jaime:
      Gracias a ti, por tu comentario y por la visita al blog.
      Efectivamente, la IP está considerada por la Agencia Española de Protección de Datos como un dato personal. Por tanto, debes dar de alta el fichero correspondiente a clientes, suscriptores y/o usuarios web y especificar en la política de privacidad de tu web que se recaba la dirección IP del usuario.
      No sé si te he respondido, porque no sé muy bien a qué te refieres con registrar la IP. No sé si es que no recabas la IP o si te refieres a registrar la IP ante la AEPD, lo que como te digo, no sería necesario, sino que formaría parte del fichero “usuarios web” que sí tendrías que dar de alta ante la AEPD.
      Un saludo

    2. Carlos

      Muchas gracias, así lo haré

  16. Alicia

    Hola Nando,
    En mi caso a nivel profesional debo disponer de un fichero no automatizado con nivel alto de seguridad puesto que trabajo con datos de salud. Este fichero lo tengo claro y estará unicamente a mi nombre.
    Por otro lado contamos con nuestra agenda también no automatizada en la que anotamos los horarios de los clientes que atendemos y disponemos de un teléfono de contacto. ¿Es necesario declarar un fichero para la agenda o si los datos que anotemos en la agenda no permiten la identificación del cliente no sería necesario? ¿Deberíamos dar de alta mi compañera y yo cada una un fichero a nuestro nombre para una misma agenda o podría incluirla como responsable de tratamiento en mi fichero “agenda” sin un contrato laboral entre ambas (somos autónomas independientes compartiendo despacho)?
    Mi principal duda leyendo tu post es que ahora estamos lanzando la web y me gustaría contar con un formulario de contacto y con una suscripción al blog (mediante mailchimp). Entonces ¿necesito inscribir dos ficheros 1 para formulario de contacto y otro para suscriptores o con declarar un mismo fichero “clientes de la web” bastaría? ¿Debería considerarlo también con un nivel de seguridad alto o podría ser básico? ¿Debería desarrollar otro documento de seguridad a parte del que tengamos como profesionales de la salud o podría declarar un fichero como no automatizado de seguridad alta y otro como automatizado de seguridad basica?
    En el caso de la web ambas tenemos acceso a los correos que nos lleguen por la web y por la suscripción ¿ Deberíamos dar las dos de alta los mismos ficheros y ponernos de encargadas o responsables de tratamiento a la otra o cómo sería más sencillo hacerlo?
    Creo que he excedido la cantidad de preguntas límite 🙂 Contesta lo que puedas
    Gracias!!

    1. Nando

      Hola Alicia:
      En ningún caso te has excedido de las preguntas límite. No hay límite de preguntas ;). Lo que ocurre es que estás planteando cuestiones que dependen mucho de qué datos recabéis, cómo lo hagáis y qué tratamiento les vayáis a dar posteriormente a esos datos recabados.
      Me explico: Si recabáis datos de nombre y apellidos para proporcionar información sobre temas de salud, sin más, es decir, sin que tengáis datos de nivel alto asociados a esas personas, bastaría con tener un fichero de nivel básico. No obstante, si luego vais a almacenar datos de salud asociados a esas personas, obviamente el fichero pasaría a nivel alto.
      El tema es si podéis tener claramente diferenciados los ficheros de clientes de nivel alto y los ficheros de clientes de de nivel básico, puesto que el tratamiento que puedes realizar en un caso u otro es diferente.
      En cuanto a lo de si tenéis que dar de alta un fichero tú y otro tu compañera, pues pasa un poco lo mismo: Dependerá de quién sea la responsable de tratamiento. Pero por lo que cuentas parece que sois las dos responsables, por lo que quizá sería recomendable que cada una tuviera su fichero y declarara como encargada de tratamiento a la otra.
      No obstante, Alicia, dado lo delicado de lo que me planteas, te aconsejo que te pongas en manos de un profesional para hacer una auditoría, pues como ya he comentado a algún otro lector, es un tema delicado y una mínima inversión puede ahorrarte más de un disgusto.
      Ojo con el uso de Mailchimp, porque es una transferencia internacional de datos, en cuanto que MailChimp tiene sus servidores en EE.UU. y en la actualidad no existe cobertura legal para esas transferencias internacionales, a pesar de que existe un acuerdo político denominado Privacy Shield, que debe plasmarse en alguna norma. Sólo podrías realizar esas transferencias mediando una Autorización de la AEPD (con los trámites que ello implica) o contando con el consentimiento expreso de tus clientes.
      En definitiva, te aconsejo que te asesores bien, pues creo que merece la pena. Un saludo

  17. Estefania Montó

    Un artículo realmente interesante, actualmente en el mundo online debemos cumplir con las exigencias que nos impone la LOPD a nivel de blogs y redes. Ahora inclusive un dominio o una IP es considerada como dato de carácter personal. Tenía varias lagunas sobre este tema en concreto, de los blogs, y me ha ayudado mucho para entender ciertas cosas. Muchas gracias por compartir y un saludo.

    1. Nando

      Muchas gracias a ti, Estefania por pasarte por aquí.Un saludo

  18. JAVIER

    Buenas!!! Tengo una duda respecto a este tema. Actualmente tengo MailChimp para la lista de suscriptores. Además en la web nos comentan en los post. Con estos datos, ¿qué es lo que tengo que hacer?

    Muchas gracias y un saludo.

    1. Nando

      Hola Javier:
      Te hago un resumen, porque tu pregunta se presta a una explicación más extensa.
      Pues habrá que ver si Mail Chimp se adhiere al Privacy Shield, que como sabrás es el sustituto del Safe Harbor, que quedó invalidado por la Sentencia del TJUE de 6 de octubre de 2015.
      En caso de que no estén adheridos al Privacy Shield, habrá que pedir una autorización a la AEPD para poder realizar transferencias internacionales a EE.UU. con todo lo que ello implica (Aportar un contrato con Mail Chimp, traducido y apostillado, etc.) o recabar el consentimiento inequívoco e informado del usuario a la transferencia internacional de datos.
      Obviamente deberás disponer de una política de privacidad en la que informes al usuario la finalidad para la que se recaban sus datos, a quién se los cedes, quién es el responsable de tratamiento y dónde puede ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición).
      Un saludo

  19. jorge

    Hola.

    Tengo una duda bastante tonta pero es que no encuentro la respuesta. Yo tengo un blog que llevo para una empresa, pero ni tenemos lista de suscriptores, ni permitimos comentarios.

    Lo que si tenemos es un formulario de contacto donde cualquier persona nos puede dejar sus datos personales. Eso nos llega al correo eletrónico, para que podamos responderle. El correo se elimina pasado un tiempo y esos datos solo se utilizan para proporcionar respuesta al cliente.

    ¿Se consideraría eso un fichero de datos que deba estar inscrito ante la Agencia de Protección de Datos?

    Saludos y gracias

    1. Nando

      Hola Jorge:
      Ninguna duda es tonta ;). Gracias a ti por la visita al blog.
      Verás, se entiende como fichero “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Por tanto, los datos que se almacenan en el correo electrónico (Outlook, por ejemplo) es un fichero de datos que debe ser dado de alta ante la AEPD, a menos que sea para un uso personal o doméstico.
      Espero haber aclarado tu duda.
      Un saludo

      1. jorge

        Muchas gracias, me ha quedado perfectamente claro. 😉

  20. Roberto

    Buen día Nando.
    Ante todo unirme a las felicitaciones y agradecimientos por tu post, y por las respuestas. Tengo una consulta que me parece no has contestado en ocasiones anteriores. Soy consciente de que debo inscribir los datos, sin embargo no soy (actualmente) autónomo pues no tengo, ni tendré en los primeros meses, actividad comercial relacionada con mi web. La pregunta es si puedo dar de alta un fichero sin ser autónomo, porque si no estoy percibiendo ingresos resulta un poco extraño para mi tener que pagar una cuota mensual de autónomo para poder cumplir con un requisito, pero bueno ya me dirás cómo funciona esto. El propósito de mi fichero es poder enviar comunicaciones periódicas y ocasionales a los suscriptores.
    ¡Gracias!
    Roberto

    1. Nando

      Hola Roberto:
      Muchas gracias a ti, hombre.
      A ver, que me estás mezclando aquí dos términos ;). Tendrás que cumplir con la LOPD si recabas datos personales que no utilices para una finalidad doméstica o privada. Así pues, aunque no obtengas ingresos, tendrás que ragistrar los ficheros, disponer de una política de privacidad y de un documento de seguridad.
      Lo de darte de alta como autónomo, cuando realices una actividad de forma habitual que genere ingresos.
      Un saludo

      1. Roberto

        Genial. Entonces no es necesario lo de darse de alta como autónomo, al menos mientras no se generen ingresos. ¡Muchas gracias! Ha sido de mucha utilidad el post y tus respuestas.

        1. Nando

          Me alegro mucho, Roberto. Un saludo

  21. Sergio

    Hola,

    Primero de todo y al igual que los demás “auxiliados” de la web quería agradecerte tu atención y felicitarte por tus comentarios claros y pedagógicos.

    Te comento mis dudas:

    Quiero montar un blog, a nivel particular, no como empresa. Sería un blog sobre historia y referencias bibliográficas. No se contempla ni registro de usuarios, ni comentarios, ni suscriptores. La plataforma sería WordPress.com.
    Mis dudas han surgido porque hace unos cuatro años monté una empresa y en ese caso si que inscribí un fichero y redacté el documento de seguridad.
    Mis dudas son porque al estar alojado en WordPress.com, no tengo acceso al servidor y no se cuál es el fichero y ni siquiera se donde están alojados los blogs y me parece difícil declarar como encargados del tratamiento a los de WordPress. ¿Sería obligatorio estar inscrito en la AEPD?

    Respecto del aviso de cookies quería saber como me afectaría pues no tendría Google Analytics instalado dado que en los blogs gratuitos no se permite.

    Saludos y gracias!!

    1. Nando

      Hola Sergio:
      Gracias por contactar. Si no recabas datos personales no importa si WordPress es o no encargado de tratamiento, por cuanto no tiene acceso a ningún dato personal.
      En caso de que recabes datos personales, Worpress.com te presta un servicio de alojamiento del blog, y efectivamente sería un encargado de tratamiento y efectivamente deberías tenerlo como tal en tu documento de seguridad.
      Si no obtienes rendimientoS con el blog, no tienes que advertir del uso de cookies, porque no le aplica el artículo 22.2 de la LSSI, al no ser un prestador de servicios de la sociedad de la información.
      Un saludo

      1. Sergio

        Hola Nando,

        Gracias por tu respuesta.

        Yo pensaba exactamente igual respecto a las cookies pero he leído por ahí que afecta a los blogs de los particulares porque por ejemplo el simple hecho de enlazar a una red social, como los botones “me gusta” o “twitear” ya requiere del uso de cookies y el usuario tendría que aceptarlas.

        Respecto de la LOPD cómo se declara que WordPress trata datos, en caso que sea así, y cómo redactas un documento de seguridad si no tienes acceso al servidor y por tanto no puedes saber donde se ubica ni las claves de acceso.

        Saludos.

        1. Nando

          Hola Sergio:
          Debo insistir, si no generas ingresos directos o indirectos, no eres un prestador de servicios y no te aplica la LSSI, por lo que no tienes que avisar de la utilización de cookies, aunque sean de plugins sociales.
          Wordpress.com puede tener acceso a los datos que recabes a través del blog siempre y cuando aloje los mismos en su servidor. Es como cuando contratas un servicio de hosting para una web en WordPress.org. Tu documneto de seguridad debe contemplar que worpress.com es encargado de tratamiento.
          Un saludo

  22. Roberto

    Otra pregunta Nando. Al inscribir ficheros, e indicar que se utiliza MailChimp, existe una “transferencia internacional” a una empresa que ya ha sido aprobada, por lo que en la inscripción del fichero solicita un “Código de autorización”. ¿En dónde se puede encontrar ese código?
    Gracias una vez más

    1. Nando

      Hola Roberto:
      Te cuento: Según la política de privacidad de Mail Chimp (De la empresa The Rocket Science Group) se han adherido al Privacy Shield, que es un acuerdo entre Europa y EE.UU. que viene a sustituir al Safe Harbor. Por lo que en principio, sería una transferencia internacional lícita sin necesidad de autorización por parte de la AEPD.
      Salvo que esté equivocado, no necesitarías ningún código de autorización.
      Lo que pasa es que si consultas la lista de empresas adheridas al Privacy Shield en este enlace https://www.privacyshield.gov/list, no aparece The Rocket Science Group.
      Si MailChimp no está adherida, efectivamente debería autorizarse la transferencia internacional (o que el usuario consienta de forma expresa a la misma), y entiendo que es la propia agencia la que proporciona ese código de autorización.
      Si no te convence mi respuesta, te animo a que llames a la AEPD.
      Un saludo

      1. Roberto

        Creo que intentaré contactarles entonces. Entiendo que están adheridos, pero en la guía de la AEPD (
        https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/documentacion/common/pdfs/Guia_rapida_NOTA.pdf) en la última parte hablan de un código, pero no me he animado a iniciar el proceso porque quiero tener todo a mano para hacerlo con paso firme, pero llamaré a la agencia tal como sugieres. Muchas gracias de nuevo.

      2. Roberto

        Perdona, entre lo que comentas, dices que una opción es que el usuario “consienta de forma expresa”, ¿cómo se hace esto? He llamado a la agencia y me dice que “en principio” entiende que no es necesario ningún código, pero tal como indicas en tu comentario, no encuentro ni a “The Rocket Science Group” ni a MailChimp en la lista, entonces estoy un poco descolocado y no sé bien por donde ir. Muchas gracias de nuevo, ¡y disculpa por ser tan pesado!

        1. Nando

          Hola Roberto:
          Pues una opción sería una casilla de aceptación a la transferencia internacional de datos con un enlace en el que se explicara por qué motivo se transfieren esos datos.
          No obstante, si te lees a política de privacidad de MailChimp (http://mailchimp.com/legal/privacy/)incluyen la mención de que están adheridos al Privacy Shield. Quizá es cuestión de tiempo que aparezcan en el listado de https://www.privacyshield.gov/list
          Un saludo

  23. silvia

    Hola, gracias por escribir sobre este tema.
    Tenemos una pagina con IP en Italia pero la utilizamos en Canarias….necesitamos hacer todo este proceso NOTA?
    En Italia con tener la informativa sobre los cookies y el utilizo de datos personales ya està.

    Mil gracias

    Silvia

    1. Nando

      Hola Silvia:
      Gracias a ti por la consulta.
      Te transcribo lo que dice el artículo 2.1. de la Ley Orgánica de Protección de Datos:
      Artículo 2 Ámbito de aplicación
      1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que
      los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público
      y privado.
      Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
      a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un
      establecimiento del responsable del tratamiento.
      b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la
      legislación española en aplicación de normas de Derecho Internacional público.
      c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el
      tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con
      fines de tránsito.
      Así pues, en mi opinión sí debéis de dar de alta los ficheros.
      Sin embrago esta exigencia no se contempla en el nuevo Reglamento de Protección de Datos Europeo, por lo que es posible que a partir de mayo de 2018, o incluso antes, si así se estableciera, no haga falta dar de alta los ficheros. No obstante, ahora mismo sigue siendo una exigencia de la normativa española.
      Un saludo

  24. Luis

    Hola Nando, muy didáctico tu blog. Tengo un gran problema de privacidad con mis datos personales y no sé cómo interpretar la ley en este sentido. Todos mis datos personales (nombre, apellidos, domicilio completo, nº de tf., correo electrónico [solo falta el número de mi cuenta y el pin de la tarjeta] etc.) aparecen publicados en varias webs que registran la titularidad de dominios y hosting. El caso es que yo no he dado consentimiento expreso a estas empresas para publicar mis datos personales y además ponen en serio riesgo mi seguridad y privacidad. Habiendo consultado a la empresa donde registré mi dominio y hosting me comunican que oculte mis datos en el área de clientes (llamado whois) y que ellos no se hacen responsables de la gestión ilícita que hagan las demás empresas. Tras la ocultación de mis datos en el “whois” continúan publicados en las citadas webs y siguen sumándose otras. Lo he notificado a estas empresas por varias vías y me ignoran ¿si he publicado mis datos personales de alguna forma por desconocimiento o error forman parte del dominio público o tengo derecho a denunciar?. Muchas gracias.

    1. Nando

      Hola Luís:
      Tú eres el dueño de tus datos personales y dispones del derecho a acceder, rectificar, cancelar y/U oponerte al tratamiento de tus datos en cualquier momento y siempre que esté justificado. Por ello, puedes requerir a esas webs para que eliminen tus datos, e incluso acudir ante la Agencia Española de Protección de Datos.
      Un saludo

  25. Jordi

    Gracias Nando! he consultado muchos blogs y me he intentado leer las leyes, y tu pagina es la que me ha inspirado para por fin hacer la pagina de mi blog de politica de privacidad y ajustar mis plugins! Gracias por tu estupendo trabajo!
    Supongo que no te importara que imite como funciona tu pagina en este sentido
    Aquí tienes un seguidor!
    Y si teneis dudas acerca de soluciones en cirugía plastica, pues ya sabeis… visitar la el blog que estoy arrancando con mi pareja (palomamejina.com) de cirugía plástica.

    Saludos

    Jordi

    1. Nando

      Hola Jordi:
      Muchas gracias por tus amables comentarios. Un saludo y mucha suerte con tu blog.

  26. Juan Marcos

    Hola Nando, da gusto gente como tu y que clarito, dos cosas, primero una pregunta, si una empresa ofrece servicios de alojamiento a sus clientes, pero a su vez ella utiliza una empresa para alojar lo suyo y lo de sus clientes (vamos intermediaria), que fichero tiene que declarar ante la AGPD, aparte de los normales osea uno de clientes, ¿tendría que declarar otro de alojamientos o de bases de datos?.
    Segundo un comentario, me he leído todos los comentarios del 2016 (muy interesante), para tener que cumplir no es necesario solamente un beneficio económico, con tener un beneficio de imagen comercial, vale para tener que cumplir con ella.
    Muchas gracias, un saludo enorme

    1. Nando

      Hola Juan Marcos, te contesto a las preguntas al revés de como me las formulas, primero a la última:

      1) La LSSI-CE refiere en su Anexo “Definiciones”: “El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios”. Por lo que un blog corporativo en el que no se vende nada, pero promociona la imagen de una empresa, también debe cumpir con la LSSI-CE.

      2) Entiendo que debe declarar un fichero de clientes, pero tanto en su política de privacidad, como en su documento de seguridad deberá hacer constar la circunstancia de que utiliza a un hosting reseller como encargado de tratamiento, al que deberá exigirle que le firme un contrato conforme al artículo 12 de la LOPD.

      Muchas gracias a ti. Un saludo

  27. Juan Marcos

    Perdona, para cumplir con la LSSIce

    1. Nando

      OK, entendido 😉

  28. Blogger

    Hola, buenas tardes / noches
    Tengo una duda sobre el tema de las cookies y el tema de los CDN

    Yo tengo un blog (en la cual se encuentra en construcción) cuya única cookie es la de Cloudflare. No se permite los comentarios ya que se puede comentar en las redes sociales con total tranquilidad, no va a haber suscripciones ni otros elementos que tenga que almacenar

    Mi blog está alojado en EEUU y en el panel de control del alojamiento no hay una sección donde aparezcan los logs (Lo cual es una buena señal) pero en Cloudflare hay una sección de estadísticas en la cual no aparecen datos personales (Pero se pueden activar, cosa que no tengo intención de hacer). Está alojado en el servidor x10hosting

    Mi blog es únicamente para añadirlo a mi CV como experiencia para poder trabajar en un futuro en los medios de comunicación, como va a haber neutralidad no mencionaré a ninguna marca para no dar publicidad.

    Mis dudas son las siguientes:

    1) ¿Debo crear un fichero de protección de datos sabiendo de que no tengo acceso directo a las estadísticas donde aparece datos personales?

    2) ¿El hecho que tenga el alojamiento en los EEUU pero que no almacene datos, implica crear algún documento para la LOPD?

    3) ¿Tendría que cumplir la LSSI sabiendo de que mi blog no es comercial?

    Saludos

    1. Nando

      Hola Blogger:
      Si puedes tener acceso a datos personales (aunque no actives esa funcionalidad), debes disponer de una política de privacidad informando de ese extremo, así como una política de cookies, informando de uqe utilizas cookies analíticas.
      En mi opinión, debes informar también de que no recabas datos personales, pero como quiera que utilizas Cloudflare, podrías recabarlos y que además podrías realizar una transferencia internacional de datos. Por lo que te aconsejo que recabes el consentimiento a tal fin de tus usuarios.
      En el caso de Cloudflare en realidad no sería necesario, por cuanto están adheridos al Privacy Shield. No obstante, no encentro la empresa titular del servidor de x10hosting, por lo que no pudo comprobar si esa empresa está adherida al mencionado Privacy Shield, siendo imprescindible en ese caso , que el usuario autoririce una eventual transferencia internacional de datos (sí, aunque de momento no trates datos. Porque sí podrías hacerlo, no?).
      En cualquier caso, tanto CloudFlare, como x10hosting serían encargados de tratamiento, porque podrían tener acceso a datos personales y por ese motivo deberías tener firmado con ellos el contrato que refiere el artículo 12 de la LOPD. Complicado, ¿verdad? Por eso es mejor trabajar con proveedores europeos, aunque sí, son más caros.
      Si con tu blog no obtienes ningún tipo de ingreso (que no beneficio) ni directo ni indirecto, efectivamente no es un prestador de servicios de la sociedad de la información, y por tanto no le aplica la LSSI-CE.
      Un saludo

  29. Víctor

    Hola Nando,

    Yo trabajo como colaborador freelance con otras empresas, me dedico a generar leads mediante landing pages mías, en algunos casos la info de esos leads pasan primero por mi email (y una vez se la paso a mi cliente la elimino), y en otros casos va a parar directamente al email del cliente.

    El hecho es que al final del día yo no guardo ninguna información de esos leads.

    Entonces la duda es la siguiente:

    El aviso legal que debo poner en el formulario de mi landing page, ¿puede estar directamente al nombre de mi cliente?

    Muchas gracias de antemano, buena trabajo.

    1. Nando

      Hola Víctor:
      Por lo que me cuentas, a través de tus landing pages estás recabando datos personales que luego cedes a tus clientes. Por tanto, eres un responsable de tratamiento de esos datos personales y debes advertir a los usuarios de tus landing pages a quién se los vas a ceder para que puedan autorizarte a tal fin. Y no vale una autorización genérica, sino que debes proporcionar los datos de los cesionarios y la finalidad de dicha cesión.
      Otra cosa es que le diseñes la landing page a tu cliente y sea tu client el que recabe los datos, a los que puedes tener acceso. En ese caso serías encargado de tratamiento de esos datos y ahí, sería tu cliente el quedebería advertir que tú , como encargado de tratamiento podría tener acceso a sus datos y por ello debería firmar un contrato contigo de los que refiere el artículo 12 de la LOPD.
      Un saludo

  30. Christian

    Hola Nando,
    muy interesante tu web y tus artículos.
    Quería hacer una pregunta, qué debo hacer respecto la LOPD si soy un freelance que quiere mandar un e-mail ofreciendo mis servicios a empresas y uso el e-mail de contacto que aparece en la web de la empresa a la que me quiero dirigir, info@aaa.com ?
    No tengo blog aunque lo quiero crear y seguir tus indicaciones, claro está.
    Me ha pasado que he enviado un correo a una empresa, me han dicho que recuerde la LOPD, que debo solicitar permiso, he mandado un e-mail solicitando que me den permiso y que si no quieren, ceso las comunicaciones y me han respondido que proceden a denunciarme a la AEPD.
    Sólo he enviado un correo y la solicitud. No entiendo.
    Muchas gracias y un saludo,
    Christian

    1. Nando

      Hola Christian:
      El artículo 21 de la Ley de Servicios de la Sociedad de la Información prohíbe expresamente la remisión de comunicaciones comerciales por medios electrónicos sin disponer de la autorización del destinatario. Dicho artículo no distingue entre empresas y particulares, prohíbe las comunicaciones comerciales electrónicas a cualquier destinatario sin contar con esa autorización. Aunque esto se regula en la LSSI-CE, corresponde a la Agencia Española de Protección de Datos velar por el cumplimiento de lo que dispone dicho artículo.
      Como excepción, ni se requiere dicha autorización cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
      En todo caso, deberá ofrecerse al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
      Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
      En mi opinión, puedes mandar un correo solicitando permiso para enviar comunicaciones comerciales. Si no te contestan o se niegan a que les remitas comunicaciones comerciales, no debes remitir una nueva comunicación o te arriesgas a que te denuncien ante la AEPD.
      Un saludo

  31. Mihai

    Buenas tardes. Se te puede denunciar si no tienes el aviso legal , proteccion de datos etc en la web y encima eres empresa o persona publica? Donde se puede denunciar y que puede pasar. Saludos

    1. Nando

      Hola Mihai:
      Claro que te pueden denunciar si no tienes el aviso legal, ni tampoco dispones de una política de privacidad.
      El artículo 43 de la LSSI-CE recoge que “la imposición de sanciones por el incumplimiento de lo previsto en esta Ley corresponderá, en el
      caso de infracciones muy graves, al Ministro de Industria, Energía y Turismo, y en el de infracciones graves y leves, al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.
      No obstante lo anterior, la imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la materia o entidad de que se trate a que se refieren los párrafos a) y b) del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de esta Ley.”
      Las sanciones de la LSSI-CE son las siguientes:
      a) Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.
      La reiteración en el plazo de tres años de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años.
      b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.
      c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.
      En el caso de incumplimiento de la LOPD, las sanciones pueden oscilar entre los 600 € y los 600.000 €.
      Un saludo

  32. Mdelfe

    Hola
    Una consulta, si tengo un perfil en instagram o facebook, se considera de igual forma?
    Por ej, cuando publico un post y llega a mi base de suscriptores un mensaje de alerta, no estoy haciendo uso de datos personales?
    Es necesario tener los requerimientos cibiertos (cookies, politica de tratamiento de datos y aviso legal) en dichos perfiles?
    Gracias!

    1. Nando

      Hola Mdelfe:
      En mi opinión, y salvo que no haya entendido tu consulta, entiendo que no tratas datos personales, por cuanto no recabas datos, ni los almacenas, ni haces nada después con esos datos, ¿cierto?
      En mi opinión los perfiles se integran dentro de una plataforma a la que tiene acceso aquellos que han accedido a la misma y han aceptado los términos y condiciones de esa red social.
      Un saludo

  33. Amaya

    Buenos días,
    Muy interesante este post. Yo tengo un blog sobre reflexiones de cine y series y alguna entrada más personal.
    https://sofamantaypeliblog.wordpress.com
    Según un informe de la AEPD que he consultado (te la dejo aquí por si te es de utilidad: https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/ambito_aplicacion/common/pdfs/2008-0615_Inaplicaci-oo-n-LOPD-a-actividad-de-particulares-que-comparten-fotos-de-sus-hijos-a-trav-ee-s-de-Internet.pdf) me queda claro que aunque es un blog de contenido personal, está ubicado en Internet, con acceso ilimitado a todo tipo de personas, por lo que deja de estar incluido en la excepción que prevé el art. 2.2. a) LOPD, pues mi actividad sobrepasa el ámbito meramente personal o familiar.
    Sabiendo esto, me queda la duda de si tendría que cumplir con la LOPD (inscribir los ficheros), porque los únicos datos que tengo son, literalmente, 4 correos electrónicos de personas que se han suscrito por correo electrónico (se les manda notificación al email con cada entrada nueva que publico). El resto de suscriptores, son bloggers como yo con sus respectivos nombres “artísticos”.
    ¿Tengo que inscribir ese fichero de los correos electrónicos?
    La verdad que no me queda nada claro. Y me parece exagerado, pero bueno. Quiero cumplir con todas las legalidades.
    Muchas gracias. Espero tu respuestas. Un saludo.

    1. Nando

      Hola Amaya:
      Pues como comentas, efectivamente en tu caso puede parecer exagerado. Quizá si sólo tienes 4 suscriptores sí podría considerarse un uso doméstico, personal o familiar.
      Lo que ocurre es que nunca se sabe cuando tu blog puede convertirse en un blog de referencia y tener cientos o miles de suscriptores.
      Un saludo

  34. Cazadividendos

    Buenos días,

    Tengo dos dudas. He estado buscando bastante y no he encontrado una respuesta que me convenza. Las expongo aquí a ver si me podéis ayudar.

    En mi web recabo datos personales de dos maneras:
    1. Suscriptores, que acabo obteniendo con el típico diálogo emergente y guardando en MailRelay.
    2. Usuarios, que se dan de alta como usuarios en WordPress y luego participan en la plataforma (foro y blog) con este usuario.

    Aunque técnicamente son cosas muy diferentes (MailRelay vs WordPress) y el objetivo es diferente (recibir contenidos vs participar en la plataforma), la naturaleza de los datos es muy parecida y todo sería “Datos de usuarios y suscriptores” de la web.

    Adicionalmente, todos los datos son de suscriptores y usuarios. Es decir, no hay productos de pago y no hay clientes.

    Las preguntas son:

    ¿Es necesario registrar dos ficheros de datos en la AEPD?
    Si en algún momento decido ofrecer algún servicio o producto de pago, ¿podré modificar el registro y la descripción del fichero en la AEPD o tendré que registrar un nuevo fichero para clientes?

    Muchas gracias.

    1. Nando

      Buenas tardes:
      Pues podrías tener un sólo fichero que se denominara “suscriptores, usuarios y clientes” siempre y cuando el tratamiento de todos ellos sea el mismo. Deberías tener ficheros diferenciados, si por ejemplo en un grupo de los anteriores, por ejemplo “suscriptores” hay algún factor diferenciador que haga que el tratamiento sea diferente (por ejemplo, que se transfieran a otro país o que se cedan a un tercero).
      Muchas gracias a ti. Un saludo

  35. María

    Hola Nando,

    en primer lugar, enhorabuena por el blog, todavía es difícil encontrar abogados tan puestos en el área digital y menos con información tan clara y precisa.

    Respecto al tema de esta entrada tengo varias preguntas:
    – Si sólo tienes el dominio sin instalar WordPress ni nada, osea que no aparece si introduces la url. ¿Debes también hacer un aviso legal o como no hay contenido no es necesario? Es que por ejemplo Godaddy te permite incluso hacer privada tu información personal y cumple con la legislación española de LOPD pero no lo tengo muy claro ésto.
    – Hay blogs gratuitos donde te permiten crear tu pequeña página web. Por ejemplo, WordPress, ¿son necesarios los textos legales en este caso? Porque tú haces el blog pero la titularidad no es tuya.
    Sin embargo, hay otros cuya titularidad también sería de terceros y te permiten publicar tus propios post pero ellos tienen su propio aviso que imagino te cubre a ti también al escribir contenido. Por ejemplo, el caso de Globedia.
    – Por último, la cuestión del spam, ¿conlleva alguna multa? Me refiero no ya a hacer spam vía mail o sms que eso sí conllevará algún tipo de sanción sino a la expulsión de foros simplemente por dejar un enlace a tu web. Hoy en día prácticamente no te lo permiten en ningún sitio salvo que lo pagues.

    Disculpa la extensión del mensaje pero así puede servirnos a todos los que tengamos dudas similares y muchísimas gracias por tu atención.

    Un saludo.

    1. Nando

      Hola María:
      Muchas gracias por tus amables comentarios. Voy a intentar responder tus consultas:
      1.- Tendrás que tener un aviso legal en el que identifiques al titular de la web y cumplas con lo dispuesto por el artículo 10 de la LSSI-CE si a través de la web realizas algún tipo de actividad. Y deberás tener una política de privacidad si recabas datos personales para una finalidad que no tenga la consideración de doméstica o particular. Creo que te refieres a que el registrador del dominio permite ocultar los datos del whois del titular del dominio. Pero eso no tiene nada que ver con la obligación de proporcionar información cuando la web es considerada un prestador de servicios de la sociedad de la información, porque detrás de esa web hay actividad económica directa o indirecta.
      2.- En el caso de WordPress. com (en contraposición a WordPress.org), tu blog se aloja en los servidores de WordPress, pero si por ejemplo, ofreces servicios profesionales en ese Blog o recabas datos personales, tú serás la responsable de disponer de textos legales y de los datos que recabaes.
      El caso de Globedia, entiendo que son los titulares de esa Web los que deben cumplir con toda la legalidad. Al final Globedia sólo te permite publicar un post.
      3.- Claro que hay multas por SPAM, y pueden llegar a ser muy elevadas. Dice el art. 38.3.c) de la LSSI-CE: “Son infracciones graves: El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 2”
      Las infracciones graves llevan aparejada sanciones de multa de 30.001 hasta 150.000 euros.
      Por supuesto cualquier servicio puede establecer en sus términos de uso excluir a cualquiera por realizar SPAM. Hasta las redes sociales tiene regulado esto así.
      Espero haber aclarado tus dudas. Un saludo

      1. María

        Mil gracias por tu respuesta Nando.

        Respecto al punto 2 no ofrezco servicios profesionales sólo algunos post con algo de contenido… Lo pregunto porque utilizo algunos de estos blogs gratuitos donde puedes crear un subdominio y utilizarlo para crear enlaces a tu sitio y potenciar tus keywords.

        Son blogs donde sólo se cuelgan algunos post y ya está. No se recaba ni mail ni se explota con publicidad ni nada de nada, sólo para dar fuerza a mi money site.

        No sé si en cada blog que cree es necesario hacer un aviso legal y avisar sobre las cookies. Tampoco si es responsabilidad mía o del titular del dominio principal. Tengo un poco de quebradero mental que espero puedas terminar de resolverme.

        Mil gracias por tu atención

        1. Nando

          Hola María:
          Por decirlo de una manera muy sencilla:
          Si obtienes rendimientos de manera directa o indirecta a través de un blog, ese blog tiene la consideración de prestador de servicios de la sociedad de la información y por tanto debe cumplir con lo dispuesto en la LSSI-CE: INformación obligatoria a proporcionar, cookies, etc.
          Si recabas datos personales, para un uso que no puede considerarse privado o doméstico deberás disponer de una política de privacidad.
          Si me hablas de una red de blogs, pues está claro que habrá blogs que aparentemente no moneticen, y que únicamente sean utilizados para darle fuerza a otro sitio que sí monetiza. En mi opinión, sí deben cumplir con la LSSI-CE y disponer de un aviso legal. Otra cosa es que ya sea más o menos difícil averiguar quién está detrás de ese blog.
          Un saludo

          1. Maráa

            Gracias Nando!

            Entonces, si tengo una red de blogs gratuitos cuyo dominio no es mío debo tener aviso legal pero qué datos debe recoger?
            Supongo que también deberá haber un aviso de cookies, quizás con el genérico baste, no?

            Mil gracias d enuevo

          2. Nando

            Hola María:
            Pues debes recoger los datos que se indican en el post https://www.elabogadodigital.com/como-hacer-el-aviso-legal-de-tu-web/
            Un saludo y mil gracias a ti

  36. José Antonio

    Buenos días
    Primero que nada, felicitarte por tan excelente sitio.
    Estoy desarrollando mi blog en el cual pienso colocar un formulario de contacto similar al tuyo. Mi duda es la siguiente: tengo contratado el servicio de hospedaje en una empresa de Venezuela, el dominio de mi página es .com. y espero llegar en principio a países de habla hispana. ¿Qué debo hacer a nivel de protección de datos? ¿debo hacer el registro en la AEPD?
    Saludos y gracias de antemano

    1. Nando

      Buenos días, José Antonio:
      Me queda la duda de dónde estás ubicado tú. Si tú también estás en Venezuela deberás regirte por lo que diga la norma en materia de protección de datos venezolana. Si diriges tus servicios a países de habla hispana, deberás tener en cuenta la legislación de cada país. En concreto, si diriges tus servicios a ciudadanos españoles, deberán atender a la normativa en materia de protección de datos europea, el Reglamento General de Protección de Datos, que ya ha entrado en vigor, pero que se aplicará a partir de mayo de 2018.
      Si por el contrario estás ubicado en Europa y tienes contratado un servidor que se encuentra en Venezuela, si recabas datos personales a través de la Web, estás realizando una transferencia internacional de datos ilegal, por cuanto Venezuela no tiene la consideración de país con un nivel adecuado de protección en materia de protección de datos. Lo mejor en caso de que estés establecido en territorio europeo es contratar un hosting europeo.
      Un saludo

  37. Atalantic Soluciones Digitales

    Muchas gracias por la aportación, poco a poco las empresas nos damos cuenta de la importancia que le tenemos que dar a la LOPD. Gracias por compartir tus conocimientos con nosotros

  38. Eva

    Hola Nando,

    Felicidades por el blog y por este artículo en particular, me está ayudando mucho.
    Mi consulta es la siguiente: yo ya tengo un blog con un formulario de suscripción de Mail Chimp y tengo claro que tengo que declarar el fichero. El problema es que ya tengo bastantes suscriptores y no sé si hay algún problema por no haberlo hecho en su momento o si en la AEPD me van a poner algún tipo de multa por esto.

    Gracias de antemano,
    Saludos
    Eva

    1. Nando

      Hola Eva:
      No te preocupes, puedes dar de alta el fichero de suscriptores tranquilamente.
      No obstante, ten en cuenta que con el nuevo Reglamento Europeo de Protección de Datos (que ya ha entrado en vigor, pero que se aplicará a partir de mayo de 2018) es muy posible que se elimine esta obligación.Pero de momento, es obligatorio 😉
      Un saludo

  39. Diego

    Hola, buenas tardes,
    Quería consultaros, yo no tengo ningún fichero de clientes. Me dedico a alquiler vacacional y todos los datos de clientes lo guardan las plataformas online y sobre mis clientes propietarios al ser pocos (10-12) no guardo un fichero, ya tengo su movil y si numero de cuenta para hacerle las transferencias cuando corresponde y mi programa de email guarda su correo. En resumen no tengo ningun fichero organizado con listado de ningun tipo ni clientes ni proveedores. Qué debo hacer para cumplir la LOPD?
    Muchas gracias,
    Diego,

    1. Nando

      Hola Diego:
      Claro que tienes ficheros:
      Por fichero, a efectos de lo previsto en la norma de protección de datos, se entiende “todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados”
      1.- Las plataformas online son encargados de tratamiento de tus ficheros. Tú eres el responsable de tratamiento porque tienes acceso a ellos y se recaban conforme a tus instrucciones.
      2.- Tu programa de e-mail es un fichero, porque te permite localizar nombres y datos de las personas que te han mandado correos.
      Por tanto, debes cumplir la normativa en materia de protección de datos: declarar los ficheros a la AEPD, disponer de una política de privacidad, recabar el consentimiento informado al tratamiento, disponer de un documento de seguridad en el que se especifiquen las medidas organizativas y técnicas para asegurar la protección de datos, etc.
      Un saludo

  40. Ismael

    Buenas tardes Nando. En primer lugar darte la enhorabuena por el artículo y por tu blog.
    He buscado en los comentarios pero no encuentro uno que resuelva del todo la duda que tengo.
    Tengo un blog en construcción que todavía no me atrevo a sacar a la luz por la LOPD. Estoy a la espera de que me llegue la carta de invitación para la clave PIN para poder inscribir un fichero.
    Se que en el caso de tener un servicio de suscripción es totalmente necesario contar con un fichero, pero si solo tengo disponible los comentarios al final de cada post, ¿también es necesario? Entiendo que si, ya que para poder dejar un comentario (al igual que estoy haciendo ahora mismo) se pide el correo electrónico, pero no se si es necesario tener un fichero registrado para esto.
    Por otro lado, una vez que acepten el registro de mi fichero ¿debería de hacer algo más? Es decir, una vez me llegue una notificación con la aceptación del fichero, ya puedo estar tranquilo o hay que enlazar de algún modo el fichero con los datos de mi web.
    Muchas gracias por tu atención,
    Ismael.

    1. Nando

      Hola Ismael:
      Si recabas datos personales que exceden la esfera de un uso doméstico o privado deberás cumplir con la normativa en materia de protección de datos.
      No sé si estás al tanto del nuevo Reglamento General de Protección de Datos europeo, que entró en vigor en mayo de 2016 y que será de plena aplicación en 2018.
      De momento, y salvo que la AEPD no diga lo contrario, hay que registrar los ficheros (se registra y listo, no tienes que hacer nada más), recabar la aceptación inequívoca, específica, informada y mediante una clara acción afirmativa del usuario. Lo que implica disponer de una política de privacidad que informe claramente al usuario. Además estás obligado a tener medidas de seguridad que aseguren la protección de esos datos, que varían en función del nivel de protección que se requiere para cada tipo de datos.
      Un saludo

  41. Juan José

    Hola a todos:
    Según tengo entendido la obligación de cumplir la LOPD es independiente de si tienes negocios online o no. Aunque no tengas nada en Internet pero tengas clientes tienes que cumplir con la LOPD si tienes sus datos. Es asi no?
    Me gustaría preguntar si las cosas se complican si yo tengo mis datos en la nube de, p.e., Google.

    1. Nando

      Hola Juan José:
      Efectivamente, estás obligado a cumplir con la normativa en materia de protección de datos (Ojo, que ahora tenemos que aplicar el Reglamento General de Protección de datos y está en trámite la nueva LOPD) si tratas datos personales, ya sea de forma automatizada o no, es decir, un comercio que no trabaja en Internet también debe cumplir con esa normativa, pues trata daos personales de clientes, empleados, proveedores, etc.
      Tener los datos en la nube implica que tu proveedor de servicios cloud es un encargado de tratamiento de tus datos y deberás tener un contrato firmado con ese proveedor y poder acreditar que el mismo cumple con las medidas exigidas por el RGPD.
      Un saludo

  42. Joshua

    Excelente artículo, gracias!

    1. Nando

      Muchas gracias, Joshua. Un saludo

  43. Marta

    Hola Nando,

    escribo mi pregunta aquí porque no sé muy bien dónde colocarla. El caso es que no sé si descargar programas de Internet es legal, algunos dicen que sí, otros que si es para tu consumo no… El caso es que no lo tengo muy claro y hay varios programas que me han ofrecido por mega y páginas típicas de descarga pero no me he atrevido a hacerlo aunque los necesito.
    ¿Hay algún problema en hacerlo?
    Muchísimas gracias por tu atención.

    1. Nando

      Hola Marta:
      Descargar programas de Internet sin licencia, no es legal, por cuanto se trata de una reproducción y comunicación pública de obras sujetas a derechos de autor. Puedes hacer una copia privada, para uso personal y doméstico de una obra de la que dispongas de licencia, pero eso nada tiene que ver con la puesta a disposición de programas que te puedes bajar de manera gratuita sin la licencia o autorización del propietario de sus derechos.
      Un saludo

  44. Yolanda

    Hola al jefe! he llegado a tu página por esta noticiaza!, pero ya de paso me he metido en muchas de tus ediciones, y me he suscrito a tu +google, me parece todo lo que escribes muy interesante. Y desde ya te felicito por tu web que acabo de descubrir, y por la generosidad al contestar que demuestras por aquí, alguna preguntilla te haré cuando me entere de todo, muchas gracias.

    1. Nando

      Muchas gracias, Yolanda. Y aquí estaré, si el poco tiempo del que dispongo me lo permite ;). Un saludo y gracias de nuevo

  45. Paula garcía

    Muchas gracias por el post. Tengo una empresa en la que llevamos un blog pero soy bastante nulo en materia de leyes, y este post me ha aclarado bastante lo que tengo que hacer respecto a la LOPD. Un saludo.

    1. Nando

      Hola Paula:
      Gracias a ti por pasarte por aquí. No obstante, ten en cuanta que el post es bastante antiguo y ahora debes tener en cuenta el nuevo Reglamento General de Protección de Datos (RGPD), que incluye importantes modificaciones sobre la LOPD. De hecho está en trámite una nueva LOPD que matiza algunos aspectos del RGPD.
      Un saludo

  46. Yolanda

    Hola Nando como te prometí 🙂 te hago una preguntita, encontré este generador https://goo.gl/UDsK4K qué solo poniendo los datos te da el texto para hacer las tres cosas: aviso legal, la privacidad y las cookies, lo estoy haciendo así, porque sino me pierdo, ¿crees que lo estoy haciendo bien?, y habría que modificar algo, muchas gracias desde ya.

    1. Nando

      Hola Yolanda:
      Lamento decirte que con ese generador de textos, no cumplirías ni con lo establecido en la LSSI-CE, ni con lo que dispone el Reglamento General de Protección de Datos. Se trata de un texto fijo al que puedes añadir el nombre y la dirección de correo.
      Para redactar los textos de una web hay que analizar la actividad que desarrolla, el tratamiento de los datos personales recabados que se realiza, proporcionar la información del artículo 10 de la LSSI-CE, verificar qué tipo de cookies instala la web, etc.
      Un saludo

  47. Yolanda

    Gracias Nando!! algo me imaginaba

  48. Diego

    Buenos días, primero darte la enhorabuena por el blog, una gran currada y además muy bien explicado, sinceramente llevo como dos días buscando información y aquí es donde he obtenido mayor información.

    Verás estoy creando un blog (mi primer blog xD) y tengo una duda, te comento un poco el cometido de mi blog: Mi blog va ha ser una tienda de afiliados de amazon, yo directamente no voy a vender productos, pondré direcciones que llevaran al producto concreto en amazon, creare algún que otro post sobre la temática del blog y a parte la “tienda de amazon”. No voy a tener suscriptores, lo único que tendré será un formulario de contacto con el plugin (Contac form 7) y los apartados son los mismos que los que tú tienes (nombre, correo electronico, asunto y descripción) para que me llegue el comentario el usuario debe antes marcar en el formulario la casilla de que acepta la política de privacidad de mi blog.

    Mi duda es si tendría que tener el blog registrado en la LOPD o no con el fichero de datos.

    Siento el tocho y muchas gracias por todo

    1. Nando

      Hola Diego:
      Por lo que me cuentas, tu blog monetizará vía afiliación. Si a través del mismo recabas datos personales, deberás tener en cuenta lo dispuesto en el nuevo Reglamento General de Protección de Datos (RGPD):Hacer un análisis de riesgos en el tratamiento que haces de datos personales y valorar la necesidad de disponer de un registro de actividades de tratamiento y demás. Lo del registro de los ficheros ante la AEPD, según la vigente LOPD, sigue siendo obligatorio, pero en el proyecto de LOPD, en trámite parlamentario, ya no aparece esta obligación, ni tampoco en el RGPD, por lo que dicho registro pasará a la historia.
      Un saludo

      1. Diego

        Con recabar datos personales a que te refieres? Yo no voy a meter en mi blog ningún formulario de inscripción, ni voy a mandar e-mail para que entren en mi blog, solo contestaré en mi blog a aquellas personas que dejen un comentario (al igual que has hecho tu conmigo)

        Por lo que me he informado ya sólo se tendría que cumplir la RGPD no la LOPD ya que quedará obsoleta. He visto en la página de la RGPD que sólo es necesario contestar a una encuenta y en función de las respuesta se genera un documento, ese documento imagino que lo tendré que meter en blog no?

        Muchísimas gracias por su atención! Eres una gran ayuda para poder continuar con mi proyecto.

        1. Nando

          Hola Diego:
          Con recabar datos personales, me refiero a que vas a tener acceso a los datos personales de las personas que rellenen el formulario de contacto, con la única finalidad, como refieres, de responder a sus consultas. Eso es un tratamiento de datos, pues almacenas los mismos. Está claro que el riesgo es mínimo y que entiendo que podría bastar con implantar el RGPD a través de la herramienta que refieres de “facilita” de la AEPD: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php
          Ese documento se compone de varias partes y tendrás que revisar qué incluir en la política de privacidad del blog y qué no.
          Claro que tienes que cumplir el RGPD, pero también tendrás que cumplir la norma nacional, una nueva LOPD, que ahora mismo se encuentra en trámite parlamentario para su aprobación.
          Un saludo

  49. Diego

    Ajam muchas por todo. Entonces tengo que cumplir dos normas? La RGPD y la LOPD? Esta última no quedaba obsoleta con la RGPD??

    Podrías indicarme de que trata esta nueva LOPD o algún enlace aunque esté aún en trámite?

    Gracias!!:)

    1. Nando

      Hola Diego:
      Te paso enlace al texto de la Propuesta de LOPD: http://www.congreso.es/backoffice_doc/prensa/notas_prensa/57631_1518684517278.PDF
      La LOPD quedará derogada con la nueva LOPD, efectivamente y tendremos que tener en cuenta tanto el RGPD, como la nueva LOPD.
      La nueva LOPD (el texto del enlace), matiza algunos aspectos que el RGPD, que es una norma europea, deja al arbitrio de cada uno de los estados miembros. Sirva de ejemplo la edad mínima para que los menores puedan prestar su consnetimiento, o un listado de actividades que deberán disponer de forma obligatoria de un Delegado de Protección de Datos.
      Un saludo

      1. Diego

        buf….la verdad que es un tocho importante (con perdón), espero que no sea muy díficil de aplicar ambas normas y que no lleve demasiado tiempo cumplirlas, al menos en mi caso, que imagino que será también muy similar al de la mayoría.

        Bueno…muchísimas gracias por toda tu ayuda.

        Por cierto, sabes si crearas algún tipo de post o video sobre como cumplir ambas leyes?

        Un saludo y mil gracias por todo!

        1. Nando

          Pues reocojo el guante, Diego ;)… Pero la verdad es que no publico más por falta de tiempo. Me encantaría poder hacerlo más a menudo.
          Un saludo

  50. David González

    Fantástico blog pero todavía hay algo que no me queda claro; si tengo mi blog personal (un blog dedicado a los gatos por ejemplo) en WordPress.com o en Blogger ¿cómo puedo cumplir con la ley de protección de datos si tanto las cookies como los formularios de subscripción no son gestinados por mi sino por Auttomattic (en el caso de WordPress.com) o de Alphabet (en el caso de Blogguer)?

    1. Nando

      Hola David:
      Muy buena pregunta.
      En el caso de los blogs publicados en las plataformas que refieres, estoy de acuerdo que las cookies que se instalan son las de la propia plataforma y por eso salta el aviso establecido por los titulares de las mismas.
      Una puntualización, lo del aviso del uso de cookies es una exigencia de la LSSI-CE (art. 22.2), no de la LOPD/RGPD, y la LSSI-CE aplicará si monetizas de alguna manera el blog (de forma directa o indirecta).
      Si los formularios de suscripción, efectivamente no los gestionas, es decir no almacenas los datos de los suscriptores, ni tampoco los recuperas para mandarles newsletters, tampoco estarás obligado a cumplir con la normativa en materia de protección de datos. En cualquier otro caso, sí.
      Un saludo

      1. David González

        Muchísimas gracias por tu respuesta

  51. maria pilar

    Hola Nando ,muchas gracias por compartir toda esta información utilisima, tengo un blog personal en el cual solo publico de vez en cuando y no lo monetizo, solo tengo cajetin de seguidores del blog y comentarios, como no me aclaro con el nuevo reglamento y como me afecta a mi blog personal de momento lo he puesto como privado hasta ver que hago con el, si elimino lo de ser seguidor del blog y los comentarios, y lo dejo solo como blog de lectura, ¿estaria ya mi blog cumpliendo con el nuevo reglamento? muchas gracias por tu atención, saludos

  52. maria pilar

    hola de nuevo Nando, me he olvidado de decir que tengo el blog en la plataforma blogger
    un saludo

    1. Nando

      Hola Maria Pilar:
      Pues dependerá del tratamiento que hagas con los contactos que se suscriben al blog. Es decir si los suscriptores a tu blog se dan de alta en Blogger para seguir tu blog y tú no almacenas ese listado de suscriptores, para luego remitirles un newsletter, no tienes que preocuparte. No obstante, la Agencia publicó la herramienta facilita: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php, que puede ayudarte a regularizar la situación en el caso de que realices un tratamiento de datos personales.
      Un saludo

  53. Salma

    ¡Hola!

    Que útil ha sido leer tu artículo, aún así siempre queda esa pequeña duda por el desconocimiento en el medio.

    Yo soy la autora de un blog, no existen anuncios y tampoco solicito e-mails, detrás de esto no hay ningún fin lucrativo, ¿Debo hacer algún cambio en mi blog?

    Gracias de antemano, un cordial saludo.

    1. Nando

      Hola Salma:
      Si efectivamente no monetizas el blog de ninguna manera, no necesitarás proporcionar la información de la LSSI-CE y si no recabas datos personales tampoco será necesario disponer de una política de privacidad.
      Un saludo

  54. Santiago

    Hola Nando, ¿Que tal estas? Hace algún tiempo hablamos por teléfono sobre otros asuntos, pero hoy tengo una duda muy puntual respecto de LSSI-CE y LOPD:

    Te cuento: Tengo una página que trata sobre artistas y conciertos.
    >NO ofrezco suscripción, ni membresía ni “darse de alta” ni registro, nada de eso.
    >Por otro lado, acabo de deshabilitar los comentarios y ya nadie podrá comentar.
    >NO tengo formulario de contacto. Si halguien me quiere contactar puede hacerlo a la direccion de GMail que ofrezco en la página.
    >SÍ tengo AdSense para monetizar la página mediante publicidad.

    1) Entiendo que SÍ debo cumplir la LSSI-CE debido a que monetizo mi site con publicidad, ¿verdad? Lo cual implica añadir 3 páginas a mi site: Aviso legal, politica de cookies y politica de privacidad. ¿Cierto?

    2) No sé como aplicar la LOPD en relación a los emails que me pueden enviar los usuarios a mi GMail que ofrezco para contactarme (Por cierto, aun no me ha escrito nadie a ese email y puede que nunca me escriban). ¿Se considera eso un fichero vacio? ¿Debo hacer algo relacionado con la LOPD?

    Un saludo y gracias!

    1. Nando

      Hola Santiago:
      Efectivamente, en tanto en cuanto monetizas la web, debes cumplir con lo que recoge la LSSI-CE (Proporcionar información al usuario y política de cookies)
      En cuanto a la normativa en materia de protección de datos (el RGPD y a nueva LOPD que está pendiente de aprobación parlamentaria) deberás cumplir con ella si tratas datos personales. El concepto tratar datos personales es muy amplio, por lo que almacenar datos personales ya implica un tratamiento.
      Obviamente si alguien te contacta a través de tu correo electrónico, y solo vas a utilizar esa dirección para responder al usuario, no necesitas pedirle consentimiento al usuario que te escribe. No estaría de más que redactaras una política de privacidad en la que informes al usuario de quién es el responsable de sus datos, la finalidad del tratamiento, etc.
      Un saludo

  55. Ane

    hola! buscando info sobre el tema RGPD he llegado a ti….
    Mi situación es la siguiente: blog de blogger y lo único que tengo es el cajetín de suscribirse de FEEDBURNER.
    Que debo hacer y como???
    gracias!!! no se ni por donde empezar!

    1. Nando

      Hola Ane:
      La clave está en si tratas datos personales de suscriptores. Es decir, si por ejemplo tienes acceso al e-mail del suscriptor y lo almacenas, deberás disponer de una política de privacidad que informe al suscriptor quién el el responsable de tratamiento, finalidades, destinatarios, si comunicas los datos a proveedores (ojo con los que están en EE.UU.), derechos del usuario, etc. Y articular un sistema que te permita acreditar que el usuario ha leído y aceptado esa política de privacidad: Una casilla de aceptación que genere un log o un doble opt in, que te permite tener la fecha en la que el usuario que ha marcado la casilla de aceptación, con posterioridad ha confirmado su mail (no vale solo con el doble opt in)
      No obstante, siempre que el blog tenga un carácter doméstico, sin ningún carácter comercial o profesional, no estaría incluido en el RGPD. No obstante si tienes miles de suscriptores, habría que analizar si se aplica el RGPD.
      Un saludo

      1. David González

        Saludos de nuevo Nando, a este problema nos enfrentamos todos los usuarios de WordPress.com y de Blogger; no almacenamos nosotros los datos aunque, en el caso de WordPress.com, si podemos ver quién se ha suscrito al blog. Lo mismoocurre con los comentarios; podemos ver quién los hizo y eventualmente eliminarlos aunque no los almacenamos nosotros y en este caso ni Google ni WordPress.com acalran de quién es la responsabilidad. Ante la duda yo he quitado la opción de comentarios en mi blog pero no puedo impedir que la gente se suscriba a él ya que en WordPress.com es una opción por defecto que no se puede eliminar…

      2. nohemi

        Hola buenas tardes Nando,

        Me parece muy interesante tu Blog y por ello quería aprovechar para preguntarte sobre el uso de las imágenes que hay en internet de cuadros de pintores del siglo XX . NO se si esta es tu especialidad….Puedo utilizar con fin comercial imágenes extraidas de internet de cuadros de los Pintores del siglo XX ( Kandinsky, Miro, Monet, Van Gogh, Picasso )previos sin solicitar permiso a su descendencia?
        Creo que había leído algo sobre que era posible no tener que pagar derechos de autor etcc tras 75 años posteriores. a la obra .pero no estoy segura….
        Muchas gracias
        NOhemi

        1. Nando

          Hola Nohemi:
          Efectivamente las obras en casi todos los países, entran al dominio público a los 70 años desde el fallecimiento de su autor. El problema es que me planteas hacer uso de las fotos de esas obras y esas fotos tienen sus propios derechos de autor, por cuanto es una obra diferenciada del cuadro.
          Precisarás de la autorización del autor de la fotografía.
          Un saludo

      3. Ana

        Hola, Nando.

        Muy útil esta entrada. Me sucede lo mismo que Ane: blog de blogger. Mi pregunta es: cómo averiguo si se almacenan los correos de los suscriptores. El blog tiene un carácter doméstico, como dices. Sin fines comerciales ni publicidad. Es un blog de reseñas literarias. Los suscripores se pueden contar con los dedos de las manos.
        Entiendo que no estaría incluido en el RGPD. ¿Es así?

        ¡Muchas gracias!

        1. Nando

          Hola Ana:
          En mi opinión, no aplicaría el RGPD. Un saludo

          1. Ana

            ¡Gracias, Nando!

            Enhorabuena por tu web y gracias por contestar tan rápido.

            Un saludo.

  56. Escritor Confuso

    Buenas Nando! Tengo algunas dudas sobre esta materia y quisiera consultarte para ver si podrías ayudarme. Verás, tengo varios libros publicados en Amazon y tengo intención de crear una web de autor para hablar de mis obras, colgar algunos relatos cortos, consejos de escritura y demás… no ofrecería servicio alguno en la web.

    Para acceder al blog, no habría que registrarse, no pondría opción alguna de suscribirse ni tendría los comentarios abiertos. Las páginas tendrían enlaces hacia mis libros en Amazon y para contactar con los usuarios, tendría los perfiles a mis redes sociales.

    ¿Qué requisitos legales tendría que cumplir en la web en este caso teniendo en cuenta de que los ingresos me llegan desde Amazon (la web no estaría monetizada) y manteniendo el contacto a través de las redes sociales con mis lectores, sin tener ningún dato personal desde la web?

    Si te sirve de ejemplo, te pongo un enlace hacia la web de Carlos Ruiz Zafón. Sería una web con esa estructura, pero sin la pestaña “Registro”

    http://www.carlosruizzafon.com/es/

    Gracias por todo!

    1. Nando

      Hola Escritor Confuso:
      Las webs son consideradas prestadores de servicios se la sociedad de la información y por tanto sujetas a la LSSI, si se obtienen rendimientos de forma directa o indirecta. Si a través de la web estás promocionando algún tipo de actividad, debes disponer de un aviso legal con toda la información de dicha norma, así como una política de cookies, si es que tu web las instala.
      Si tratas datos personales, de la forma que sea, ya que no es necesario que lo hagas a través de formularios, debes buscar la manera de informar a tus usuarios del tratamiento que realizas de sus datos y dependiendo de los casos, obtener el consentimiento al tratamiento.
      Un saludo

  57. Lidia

    Hola Nando,
    Tengo una consulta porque este blog sólo envía mis posts pero no recopila ni maneja ningún dato
    Debo de indicar algo, o dejarlo así?

    Un Saludo y gracias

    http://atreveteaserarte.blogspot.com.es

    1. Nando

      Hola Lidia:
      Si con el blog no realizas ninguna actividad económica de forma directa o indirecta, no tienes que poner ninguna información de la LSSI-CE.
      Además, el RGPD no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades.
      En caso contrario sí deberías disponer de una política de privacidad y cumplir con lo que establecen la LSSI-CE y el RGPD.
      Un saludo

      1. iia

        Sólo envío posts y los usuarios se suscriben para recibirlos.
        En este caso qué es lo que tengo que poner?
        Muchas gracias.

        1. Nando

          Como te decía, si no tienes una actividad económica relacionada con el blog y no tratas datos personales, no tendrás que poner nada. Pero si tratas (tienes acceso o almacenas los mails de los suscriptores) y tu actividad no puede considerarse como doméstica o particular, deberás disponer de una política de privacidad.
          Un saludo

          1. iia

            Yo recabo solamente emails de los usuarios que quieran recibir los posts pero mi actividad es doméstica o particular….
            No tengo actividad económica relacionada con mi blog pero sí dejan su email.
            En esto me lio un poco porque uso sólo sus emails para enviar posts o contacto pero nada más.

          2. Nando

            Como vengo diciendo si la finalidad es doméstica o particular, no aplica el RGPD, aunque te dejen su mail.
            Un saludo

  58. Mini-Fu

    Hola,
    Tengo un par de dudas, no me empano, sobre esto. Tengo blogs personales en blogspot.
    No tengo ni lista de suscriptores ni guardo información de ningún tipo, sólo en uno el Analytics y el Adsense.
    A veces hago sorteos de libros (que dejen un comentario en la misma entrada).
    Los comentarios que hace la otra gente están sujetos también a esa ley? Yo tengo que implantar en los comentarios todo el rollo de la protección de datos? Sino me quedo ni con los datos, (aunque se sepa la IP?) He leído todos los comentarios anteriores y tengo más lío que al principio.

    Otra duda es por ejemplo en Twitter yo puedo nombrar en mi tuit a otra persona? Porque ya me estoy poniendo conspiranoico.

    Gracias

    1. Nando

      Hola Mini Fu:
      Habría que ver en detalle cómo son tus blogs y si realizas o no tratamiento de datos personales. Si tienes acceso a los correos de tus suscriptores y tratas datos de usuarios para luego entregarles el premio, sí deberías disponer de una política de privacidad que informara del tratamiento.
      En cuanto a los tweets, puedes nombrar el perfil que esa persona tenga en la red social, pero ojo con publicar nombres y apellidos si autorización.
      Un saludo

  59. Sonia

    Hola Nando. Acabo de encontrar tu sitio y lo primero de todo agradecerte tu amabilidad al contestar a tantos comentarios.
    Soy nula en leyes y todo lo referente a la nueva ley sobre protección de datos me suena a chino y me marea un poco, la verdad.
    Tengo un blog alojado en Blogger que habla de temas de tejido y no lo monetizo de ninguna manera. Es un blog, que es en realidad un hobby para mi. Tengo habilitado un gadget de seguidores (no suscriptores) y la opción de que los lectores dejen sus comentarios a final de cada entrada. He añadido mi dirección de correo para que quien quiera me haga consultas, e indico cómo voy a usar la dirección de e-mail de quien me escriba a mi correo.
    Pero no tengo newsletter, ni formularios, ni nada que me parezca listas de ningún tipo (salvo que los seguidores y los comentarios lo sean, que no lo sé).
    La pregunta es: ¿tengo que hacer algo con respecto a la nueva ley para estar legal?.
    Otra duda es que en mi perfil aparece una lista de blogs a los que sigo… eso se considera también dentro de lo que comenta la nueva ley?
    Y encuanto a Pinterest, en uno de mis tableros incluyo fotos de trabajos que otras personas hacen con mis contenidos, señalando de quien es cada foto… ¿eso se considera lista?
    No sé si podrás pasarte, pero te dejo la dirección de mi blog por si quieres echar un vistazo
    http://www.lacalledelaabuela.blogspot.com

    Muchas gracias de nuevo. Un saludo.

    1. Nando

      Hola Sonia:
      Por lo qu comentas, todo parece indicar que se trata de una actividad personal o doméstica, que está excluida de la aplicación del RGPD.
      Un saludo

      1. Sonia

        Muchas gracias Nando. Un saludo

        1. Nando

          Muchas gracias a ti. Un saludo

  60. Lirtea

    Por fin alguien que me aclara algo sobre el tema y que sabe. Muchas gracias.
    Entiendo que mi blog, un blog sobre manualidades, en las que enseño los trabajos que hago, en la que hago tutoriales, no vendo nada, mis post son leido por mucha gente que me sigue y me envian sus comentarios y yo les respondo..me queda claro que no tengo que hacer nada sobre la nueva ley privacidad..¿verdad?..anda, dime que no..jejeje

    1. Nando

      Hola Lirtea:
      Entiendo que no, pero habría que echarle un vistazo, a ver si hay algo que no me cuentas ;)… Pero vamos, en principio, me parece que no.

      1. Lirtea

        Muchas gracias por contestarme a las dos dudas que te plantee.
        Entiendo que debo de eliminar la suscripción por correo de mis lectores, dado que no se como modificarla, por lo demás, entiendo que los enlaces a otros blogs o a la tienda en la que compro los materiales y que no es mia si puedo seguir manteniendola, no es lo que se llama cookies a terceros. ¿verdad? Muchas gracias por la ayuda que nos das a los que no sabemos como manejarlos con estas leyes …

        1. Nando

          Hola Lirtea:
          No tienes que eliminar la suscripción, si tú no tratas los datos de los suscriptores.
          Las cookies a terceros serían por ejemplo las cookies analíticas de Google Analytics o el pixel de Facebook Ads.
          Un saludo

  61. Elena

    Hola,

    yo soy profesora particular de idiomas (autonoma) y trabajo en distintas empresas en las cuales he obtenido la dirección de correo electronico de mis alumnos. Uso estos correos a través de mi cuenta gmail y solamente para enviarles información relativa a las clases como deberes y link para estudiar y para la facturación en algúnos casos. Nunca jamás facilito estos datos a terceros y nunca las uso fuera de gmail.
    Tengo que cumplir con la nueva normativa de privacidad. Es decir, tengo que pedir consentimiento escrito a mis alumnos? O, igaul tengo que proporcionarles información sobre el tratamiento de sus datos a través de un correo y notificarles como pueden aceder, modificar y/o borrar sus datos. Necesito que gmail me firme un contrato en relación a la nueva ley, o ya que ellos tb la cumplen según su politica no hace falta contrato escrito entre nosotros? Gracias infinitas de antemano,
    Elena

    1. Nando

      Hola Elena:
      En mi opinión, deberías analizar cómo accedes a los datos de esos alumnos y valorar si deben recabar ese consentimiento las empresas para las que trabajas o tú misma. El uso de una cuenta de gmail para labores profesionales no es segura, por cuanto gmail está pensada para usuarios particulares y no para empresas o profesionales que pueden tratar datos personales.
      Un saludo

  62. Irene

    Hola Nando, tengo una duda respecto a la nueva ley y mi web. Es una web curricular sin dar mis datos personales en ella, solamente reflejando mi experiencia en determinados trabajos informáticos y una sección
    dedicada a trabajos realizados. Como contacto tengo una dirección de e-mail para que pueda contactarme quién lo estime oportuno.

    ¿Es necesario en mi caso tener un aviso legal o política de privacidad?
    La web sobre la que pregunto es la que reflejo en este formulario.

    Gracias de antemano.
    Saludos.

    1. Nando

      Hola Irene:
      Todo parece indicar que se trata de una web destinada a un uso personal o doméstico.No obstante si se vincula a una actividad económica o porfesional sí deberás plantearte si debes cumplir con el RGPD.
      Un saludo

      1. Irene

        Gracias por contestar Nando, he quitado el email, teléfono, formulario de contacto y cualquier forma de contacto de un tercero hacia mi persona a través de la web. Sigue quedándome la duda sobre si estoy incumpliendo las normas por no incluir un aviso legal. Toda mi pregunta va enfocada hacia que no quiero que el mundo entero vea mis datos personales en un aviso legal por Internet y proteger mi privacidad ante todo. Mis datos personales ya se los daría a alguien en concreto que me contratara en un futuro para realizar un trabajo de web, tienda online, etc. Pero no quiero que todo el mundo los vea sin más. Ahora mismo tengo quitada la web por la duda de si incumplo o no alguna parte de la lgpd.
        No se si me puedes ayudar en lo que te planteo, pero te lo agradecería muchísimo.
        Nota: No soy autónoma ni profesional de esto ni tengo empresa relacionada con mi cv online, solo soy una aficionada con bastante experiencia en el mundillo del desarrollo web.

        Un saludo y gracias.
        Irene.

        1. Nando

          Hola Irene:
          El problema es que si se puede interpretar que tu web ofrece un servicio que puede generarte ingresos, tendrás que cumplir con lo que exige el artículo 10 de la LSSI, que consiste, en definitiva, en proporcionar el nombre, apellido, dirección, etc.
          Como te comentaba, la cuestión es si se podría defender que tu sitio web es para un uso particular o doméstico. Si no tiene la consideración de web “corporativa” no hay nada de que preocuparse.
          Un saludo

          1. Irene

            Muchas gracias Nando. Es una suerte tenerte online para resolver todas nuestras dudas. Las resuelves muy bien ;).

            Un saludo.

  63. Lirtea

    Si tengo un blog y de vez en cuando hago una entrada con un enlace a una tienda que no es mia, pero es donde compro los materiales de manualidades..¿tengo que hacer algo?
    Gracias

    1. Nando

      Hola Lirtea:
      Si no existe ninguna vinculación comercial con esa tienda, y tu blog tiene un mero carácter particular o doméstico, no le daría mayor importancia. Si tu blog tiene un carácter comercial o profesional, sí sería conveniente establecer en los términos de uso del blog que los enlaces no están gestionados por tí y que no eres responsable del contenido de esas webs.
      Un saludo

  64. Carlos

    Hola Nando , llevo un par de años como hobby personal , creando webs de temática diferente y voy probando plantillas , plugins , algunas han sido de artistas otra sobre especies en peligro de extinción . Pero ahora estoy con miedo de seguir probando nuevas ya que lo que para mi es una diversión no quiero que se convierta en un problema legal . Si sólo escribo posts , comparto fotografías propias o videos , si no hay banner de suscripción , no comercializo con nada , y dejo abierto los comentarios por si alguien quiere . ¿ Solo con la política de cookies sería suficiente ( para las estadísticas de la web ) o sería necesario incorporar algo más ? muchas gracias

    1. Nando

      Hola Carlos:
      En el considerando (18) del RGPD se refiere: El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial.
      Si no hay una actividad económica vinculada de forma directa o indirecta a las webs tampoco aplica la LSSI-CE, que en su art. 22.2 regula el tema de las cookies.
      Así pues, asegúrate que no cumples los requisitos anteriores para estar obligad al cumplimiento de las normas de aplicación.
      Un saludo

  65. Manuel

    Hola Nando,

    Estoy desarrollando una plataforma para gestión de pacientes de una clinica de fisioterapia. Esta plataforma ofrece la posibilidad de que te registres y gestiones tus pacientes y su información. En este caso quien sería el responsable de cumplir la protección de datos? yo, como proveedor de la plataforma o un cliente que opte por usar la herramienta?

    Un saludo y muchas gracias.

    1. Nando

      Hola Manuel:
      En el caso que expones, si tienes acceso a los datos personales de tu cliente que se alojan en la plataforma que desarrollas, tendrás la consideración de Encargado de Tratamiento, ya que tratarías datos por cuenta del Responsable de Tratamiento, que sería la clínica que ha instalado la plataforma de gestión.
      Si únicamente pones a disposición del cliente el software y no tienes acceso a ninguno de los datos de los pacientes de tu cliente, en ese caso no tendrás que preocuparte.
      En cualquier caso, si tratas datos personales en el desempeño de una actividad, siempre vas a tener que cumplir con el RGPD, pero dependiendo de los tratamientos que realices tendrás unas obligaciones u otras.
      Un saludo

      1. Manuel

        Muchas gracias por tu respuesta!

        En el caso que explicaba es una plataforma web. Yo, como administrador, tengo acceso a la base de datos en la que se almacena la información… Eso entraría como “Responsable de tratamiento”?

        En ese caso, si adaptase la parte de información del paciente y permitiese únicamente poner una especie de “alias” en lugar de su nombre completo y eliminar la parte de DNI, correo, … ¿La información médica no estaría vinculada a una persona directamente, no? por lo que no sería necesario aplicar la RGPD.

        Un saludo

        1. Nando

          Hola Manuel:
          En mi opinión, en tanto que administrador de la Plataforma, y en tanto que puedes tener acceso a los datos de los pacientes de cada uno de tus clientes, serías Encargado de Tratamiento de todos y cada uno de los Responsables de Tratamiento.Es decir, tus clientes serían Responables del Tratamiento y tú serías Encargado de Tratamiento, debiendo tener firmado un contrato de tratamiento de datos como tal y en el que debes asumir obligaciones tales como seguir las instrucciones del Responsable y disponer de las medidas se seguridad adecuadas.
          Habría que ver si esa solución que propones sería una auténtica anonimización de los datos. Yo entiendo que sería una mera seudonimización que permitiría fácilmente volver a identificar a la persona física.
          Un saludo

  66. Daniel

    Hola Nando:
    Estoy creando una web tipo portfolio donde explica quien soy y los dos tipos de servicio que ofrezco. Mi web no utiliza cookies, ni enlaces directos a ninguna red social. Solamente tengo una pestaña de contacto donde está mi correo para todo aquel que quiera mas información, dudas etc. Y una vez aclaradas, se elimina todo rastro.
    Entiendo que al ofrecer un servicio, deba redactar un aviso legal para estar localizado.
    Te voy poner mi dirección web y agradecería alguna recomendación en el tema de datos. Muchas gracias.

    1. Nando

      Hola Daniel:
      En mi opinión sí debes disponer de la información que requiere el artículo 10 de la LSSI-CE, por cuanto tu web sirve para promicionar tus servicios.
      En cuanto al tratamiento de datos, deberás informar a tus cientes o potenciales clientes del tratamiento que realizas, o bien en el momento de la contratación, poniendo a su disposición dicha info en una cláusula dedicada a la política de privacidad. Como quiera que tratas datos personales de tus clientes, deberás cumplir con lo que establece el RGPD.
      Un saludo

  67. Ana R. Hevia

    Buenas tardes, Nando:
    Soy maestra de Infantil y en cada curso escolar creo un blog cuyo contenido está destinado a facilitar a mi alumnado el aprendizaje del inglés. También sirve para mostrar a padres, madres y a la comunidad escolar las actividades de clase por medio de artículos, con inclusión de fotos y vídeos realizados por mí.
    No hay nada comercial en el blog, tampoco tengo suscriptores y los únicos datos personales que se manejan (nombre, que puede ser alias, y cuenta de correo) son los que voluntariamente aportan las personas que hacen comentarios y las que solicitan alguna información mediante el formulario de contacto. Una vez que se contestan ya no vuelvo a utilizarlos.
    Me encuentro abrumada por las cuestiones legales. Mi pregunta es: ¿estoy obligada a cumplir con el RGPD 2018? Y si es así, ¿qué tengo que hacer?
    Muchas gracias por tu blog y un saludo.

    1. Nando

      Hola Ana:
      Pues lo que dice el RGPD al respecto (en el Considerando 18 y en el artículo 2) es que dicha norma “no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial”.
      Si nos atenemos al tenor literal de la norma, entiendo que tu blog sí se encuentra vinculado a una actividad profesional, aunque no obtengas ningún rendimiento económico del mismo.
      Por ello, entiendo que sí deberías cumplir el RGPD y por tanto tendrás la obligación de cumplir con todas las obligaciones que el mismo establece: Realizar un análisis de riesgos del tratamiento, disponer de un Registro de Actividades de Tratamiento, disponer de contratos con Encargados de Tratamiento y contratos de confidencialidad con colaboradores en el blog, informar debidamente a los uausrios sobre el tratamiento mediante una política de privacidad, recabar el consentimiento al tratamiento cuando resulte necesario, etc. Especial atención merece el tratamiento de menores de edad por debajo de 16 años (14 años en la LOPD y 13 años en el Proyecto de LOPD en trámite parlamentario).
      Quizá, la solución pasa por eliminar los formularios por los que recabas los datos personales y que el blog únicamente sirva para que quien quiera acceda al mismo y tenga acceso a los materiales que cuelgas en el mismo.
      Un saludo

      1. Ana R. Hevia

        Gracias por tu rápida respuesta. Me decantaré por la solución de eliminar el formulario de contacto puesto cualquier otra opción es demasiado complicada para la poca importacia de mi blog.
        Saludos.

  68. Lara Casado

    Con la nueva normativa e implantación de LOPD del pasado mayo todos estamos obligados a cumplirla y establecer los cambios necesarios para que así sea ya seamos una empresa, tengamos un pequeño negocio o incluso dispongamos de una página o blog de internet. Es importante acatar la nueva normativa para evitar un mal mayor y graves consecuencias en un futuro.
    En mi caso particular me ha tocado adaptar mi trabajo y mi web a la nueva normativa ya que,aunque supone un poco de lío al principio, puedes tenerlo todo listo en nada y te ahorras un posible disgusto.
    Me ha encantado este post, resulta muy útil, explicativo y súper completo. Muchas gracias por compartirlo. Un saludo!

    1. Nando

      Muchas gracias, Lara. No obstante, este post se encuentra obsoleto, por cuanto no se habla en el mismo del RGPD.
      Un saludo

  69. Está muy bien este post ya que ofrece información útil. Por otro lado es muy interesante que dediquéis esfuerzo a crear y compartir contenido como este. Solamente deciros que me parece muy buen trabajo!!

    1. Nando

      Muchas gracias. Un saludo

  70. María

    Hola Nando,
    Una consulta, ¿ahora es obligatorio el inscribir los ficheros en la Agencia Española de Protección de Datos? Creo que tienes que cumplir con la normativa pero ya no hace falta la inscripción de ficheros. ¿Estoy equivocada?
    Saludos.

    1. Nando

      Hola María:
      La inscripción de los ficheros desde hace unos meses ya no es un requisito exigido por la AEPD. Ni el RGPD, ni la nueva Ley Orgánica de Protección de Datos y de garantías de los derechos digitales, alude en ningún artículo a esa obligación.
      Como dices los responsables y encargados de tratamiento tienen otras obligaciones, pero no la de inscribir los ficheros ante la AEPD.
      Un saludo

Deja un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Al publicar un comentario aceptas nuestros Términos de Uso y Política de Privacidad

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.