La respuesta a esta pregunta, es afirmativa. Por supuesto que debo cumplir las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD) y del reglamento que lo desarrolla (en adelante RLOPD).
La reacción de muchos bloggers puede ser: «¿En serio, estoy obligado a cumplir las normas sobre proteción de datos? ¡Vamos, si se trata de un blog en el que expreso mi opinión! ¡No hará falta nada de eso!»
No hará falta nada de eso si simplemente publicáis posts, entradas o artículos, pero si mediante los formularios de suscripción al blog, de contacto o por cualquier otro medio a través de vuestro blog recabáis y manejáis datos personales, debéis observar las previsiones legales en materia de protección de datos.
Aquí os dejo un breve glosario de términos de la LOPD que os puede servir para consultar algún término mientras leéis el post:
¿Qué es un dato personal?
Según la definición de la LOPD, un dato personal comprende cualquier información concerniente a persona física identificada o identificable. Por tanto debe existir la concurrencia de un doble elemento: la existencia de una información o dato y que dicho dato pueda vincularse de forma directa o indirecta a una persona física identificada o identificable.
¿Entonces son datos personales todos los datos pertenecientes a personas físicas? Sí, pero con los matices que veremos a continuación con respecto a las exclusiones del régimen de aplicación de la normativa de protección de datos.
Se excluyen del régimen de aplicación de la normativa de protección de datos y por tanto no serán considerados datos personales:
- Aquellos datos referidos a personas jurídicas (empresas, sociedades, asociaciones, organismos)
- Los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en empresas (personas jurídicas) como nombre y apellidos, funciones o puestos desempeñados, la dirección postal o electrónica, teléfono y número de fax profesionales.
- Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.
Por tanto, se someten al régimen de protección los datos personales que pertenezcan a personas físicas, siempre y cuando tales datos no puedan ser considerados profesionales, comerciales o propios del tráfico mercantil que desarrollen como empresarios individuales o como empleados de una empresa.
¿El correo electrónico tiene la consideración de dato personal?
Si el conjunto de signos o caracteres que componen una dirección de correo electrónico permiten la vinculación directa o indirecta con una persona física, efectivamente tiene la consideración de dato personal.
Así que atención a esto: la utilización de una dirección de e-mail sin consentimiento de su titular vulnera la normativa sobre protección de datos y se podría denunciar ante la Agencia.
¿Recabo datos personales a través de mi blog?
Si sois bloggers o blogueros, seguramente queráis obtener suscriptores a los que poder comunicar una nueva publicación, por lo que a tal fin lo que estamos haciendo es recabar el nombre, los apellidos y la dirección electrónica de usuarios y por tanto estamos teniendo acceso a datos personales, pues corresponden a personas físicas, y nos permiten identificarlos perfectamente y los almacenamos de una manera organizada.
A ese conjunto de datos organizados la LOPD lo denomina fichero. Por tanto, como autores o creadores de un blog, seremos responsables de los ficheros de datos que recabemos.
¿Qué es un encargado de tratamiento?
Para entendernos, es cualquier persona que tiene acceso a los datos personales recabados y los maneja por alguna razón justificada. Por ejemplo, puede que vosotros seáis los autores del blog, pero que un tercero ordene y almacene los contactos o los suscriptores. Ese tercero, aunque sea vuestro/a novio/a y tengáis plena confianza en él/ella, es un encargado de tratamiento a los efectos de la ley y por tanto debe ser identificado como tal.
¿Los proveedores de servicios de cloud computing o de servicios de envío de mails y newsletters son encargados de tratamiento?
Suele ser muy habitual contratar con alguna empresa un servicio de envío de mails y newsletters tipo Mailchimp, Codeeta, Aweber… Esas empresas son a todos los efectos encargados de tratamiento de datos personales toda vez que tratan, es decir, manejan los datos personales, recabados a través de vuestro blog. Lo mismo ocurre con las empresas de hosting que en su caso hayáis contratado para alojar vuestro blog, pues puede darse la circunstancia de que los datos personales obtenidos se almacenen en los servidores de dichas empresas.
En estos casos, debéis firmar un contrato con esas empresas de cloud computing o gestión de newsletters, ya sea de forma digital o manuscrita, siendo suficiente con el «acepto las condiciones» de alta en el servicio. Pero antes de contratar (firmar el contrato o aceptar el alta en el servicio) es conveniente leer los términos de uso y condiciones generales de esos servicios, para estar seguros de que esas empresas se comprometen a ofrecer las debidas garantías de protección de datos y que si no lo hacen, puedo pedirles responsabilidades.
¿Qué ocurre en los casos en los que ese prestador de servicios está fuera del territorio del Espacio Económico Europeo?
Sencillamente que estamos ante un supuesto de transferencia internacional de datos, ya sea una cesión o comunicación de datos, o bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. En esos casos será necesaria una Autorización del Director de la Agencia Española de Protección de Datos (cuyo trámite puede durar en torno a tres meses), salvo que los datos se transfieran a un país que ofrezca un nivel adecuado de protección o a empresas de Estados Unidos que se hayan adherido al Convenio de Puerto Seguro (Safe Harbor).
Hasta la fecha han sido declarados como países con nivel adecuado de protección los siguientes:
Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey,Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda.
Debo recordar que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dicho anteriormente.
¿Qué es el Convenio de Puerto Seguro (Safe Harbor)?
Muchos proveedores de cloud computing están en Estados Unidos, y allí no existe una ley de protección de datos, sino normas dispersas propias de su sistema jurídico; por ello la Unión Europea aprobó con arreglo a la Directiva 95/46/CE (que constituye el texto de referencia en Europa en materia de protección de datos personales) el Convenio de Puerto Seguro (safe harbor), que consiste en una serie de principios que regulan una protección de datos «adecuada» de acuerdo a lo definido en dicha directiva, y a los que se someten las empresas norteamericanas que se adhieren al mismo.
Las entidades o empresas estadounidenses adheridas a Safe Harbor tienen reconocido por la Comisión Europea un adecuado nivel de protección (Decisión2000/520/CE). Por lo tanto, esta Transferencia Internacional no requiere autorización del Director de la AGPD. El principio de transferencias internacionales de Safe Harbor limita al prestador de servicios la subcontratación a otras entidades adheridas a Safe Harbor mediante un contrato que exija el cumplimiento de los principios de protección de datos (existe un encadenamiento de garantías).
Pero, ¡ojo! el responsable de tratamiento de los datos debe autorizar la subcontratación y conocer la identidad de los subencargados. Habrá que intentar por tanto, tratar de conocer la identidad y ubicación de los mismos. Soy consciente de que en algunos casos eso será prácticamente imposible.
La empresa estadounidense Mailchimp por ejemplo está adherida al convenio safe harbor. Se puede ver en su aviso legal.
Las obligaciones que impone la LOPD (también para bloggers):
Calidad de los datos: Los datos sólo de podrán recoger si son adecuados, pertinentes y no excesivos, debiéndose utilizar para la finalidad para la que fueron recabados. Deben ser exactos y puestos al día, cancelándose cuando hayan dejado de ser necesarios
Deber de información: Debe informarse a los usuarios a los que se soliciten sus datos personales de la existencia de un fichero de datos personales y de para qué se va a utilizar tal fichero. De igual forma se deberá informar de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, así como de la identidad y dirección del responsable.
Consentimiento y comunicación de datos. El tratamiento de datos personales requerirá el consentimiento previo del interesado o afectado. Dicho consentimiento debe cumplir los siguientes requisitos:
- Debe ser libre, esto es, que no se encuentre viciado según las disposiciones del Código Civil.
- Debe ser específico, por cuanto debe prestarse a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable de tratamiento.
- Debe ser informado, siendo necesario para su obtención informar al interesado de:
- La existencia de un fichero en el que se van a incorporar los datos del interesado y del tratamiento de ese fichero.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean formuladas en un cuestionario y de las consecuencias de la obtención de los datos o de la negativa a proporcionarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
- De la identidad y dirección del responsable de tratamiento.
Estas advertencias deben constar de manera legible en los formularios de recogida de datos y en el Aviso Legal, como explico en mi post «Cómo hacer el aviso legal de tu web».
- Debe ser inequívoco, por cuanto no puede haber duda de la prestación del consentimiento.
Deber de secreto: el responsable del fichero y quienes intervengan en el tratamiento de los datos personales están obligados al secreto profesional respecto de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o responsable del fichero.
Seguridad: el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, y su tratamiento o acceso no autorizado.
Merecería de un post a parte la elaboración del llamado Documento de Seguridad, que consiste en un documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal.
Su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento. Es obligatoria su elaboración, pero se trata de un documento interno de cada responsable (no se registra en la AGPD).
La propia AGPD ha elaborado una guía para su elaboración.
Inscripción.- Por otra parte, cualquier fichero de datos de carácter personal deberá ser notificado por su responsable a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
Cómo puedo inscribir mis ficheros?
Para realizar la inscripción inicial de cualquier fichero, y en su caso la posterior modificación o supresión de la inscripción, en la web de la Agencia Española de Protección de datos (www.agpd.es) podéis encontrar el formulario electrónica que denominan NOTA (Notificaciones Telemáticas de la AEPD) a través del cual podéis solicitar la inscripción de ficheros en el Registro General de Protección de Datos.
Este formulario os permite la presentación de forma gratuita de notificaciones a través de Internet con certificado de firma electrónica. En caso de no disponer de un certificado de firma electrónica, también podéis presentar la notificación a través de Internet, para lo cual deberá remitir a la Agencia la Hoja de solicitud correspondiente al envío realizado debidamente firmada. Por último, podéis optar por el modo de presentación en soporte papel.
¿Y vuestro blog cumple con la normativa de protección de datos?¿Habéis inscrito vuestros ficheros?
Muy interesante el artículo porque soy megatorpe y nunca consigo
aclararme con ese lenguaje… pero sigo sin tener claro mi caso. Yo
tengo un blog y solo solicito el correo electrónico para que el personal
reciba mis posts por correo. Estoy obligada a incluir una advertencia
en el formulario de que no voy a usar los correos para fines malvados? Y
estoy obligada a notificar a la AGPD del fichero de Feedburner?
Hola Miriam.Muchas gracias por leerme y por dejar tu comment. La respuesta es sí, debes advertir en el formulario en el que recabas datos que esos datos van a ser incorporados a un fichero de la que eres responsable y su finalidad, pero también cómo tus usuarios pueden ejercitar sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) sobre el tratamiento de sus datos personales. Si dicha finalidad es sólo para informarles de futuras publicaciones, pues para eso, si es para otra cosa, pues también hay que informarlo (puedes ver como lo hago yo en el blog), tanto en la pestaña de contacto, como en el mail que envío a los que se suscriben al blog – pero para eso tendrías que suscribirte 😉 -. En cualquier caso, te recomiendo que te leas mi post «Cómo hacer el aviso legal de tu web», puede aclararte un poco más todo esto.
En cuanto a lo que llamas fichero de Feedburner, en realidad el fichero de suscriptores es tuyo, tú eres la responsable. Feedburner es el proveedor de servicios que maneja esos datos porque tú les has contratado a tal fin. La Ley llama a estos proveedores «encargados de tratamiento» y lo que debes reflejar en tu solicitud de inscripción es que Feedburner es el encargado de tratamiento de tu fichero.
Espero haber resuelto tu duda.
Muchas gracias y espero verte pronto por aquí.
Me la has resuelto del todo y menos mal, porque no tengo nada hecho. Pues como le dé a la AGPD por darse un garbeo por los blogs… se van a inflar a meternos puros. Y mil gracias, me ha sido utilísimo.
No te preocupes por eso, Miriam. La AGPD no actúa de oficio, esto es, actúa si alguien te denuncia ante ellos. Por eso será poco probable, pero nunca está de más tenerlo todo en orden. Un placer, gracias a ti. Un saludo
Muy completo el artículo. Pero… tengo una duda. Si el fichero es algo vivo y los suscriptores pueden ir cambiando a lo largo del tiempo, ¿hay que actualizar el fichero en la agpd? ¿cada cuanto tiempo?.
GRACIAS
Hola Isabel. Muchas gracias . En cuanto a la duda que me planteas: en realidad lo que hacemos con la inscripción de ficheros es notificar a la Agencia de Protección de datos el tipo de ficheros que manejamos. De lo contrario, imagina el servidor que deberían utilizar para almacenar todos los datos personales recabados por todas las empresas. Por ello, sí debemos ir actualizando los datos de los interesados en nuestro fichero de forma interna (principio de calidad de los datos), pero no tenemos que comunicar esas actualizaciones a la Agencia. Espero haber resuelto tu duda. Un saludo
Buenos días.
Me ha encantado el artículo, pero tengo una duda. Yo tengo el siguiente blog:
http://elartedelprogramador.com
Y no tengo ningún formulario de contacto ni de suscripción. Simplemente, en algunas páginas del blog (como las de quién soy o la de licencias) digo que, si quieren contactar conmigo, pueden enviarme un email a elartedelprogramador@gmail.com. ¿Estaría obligado a cumplir con la LOPD en este caso?
Saludos.
Hola Joel, muchísimas gracias por tu comentario. Siento contestarte tan tarde porque no sé qué ha pasado con la aplicación que me gestiona los comentarios y no había recibido notificación de tu comentario.Mil disculpas!
He entrado en tu web para comprobar si recabas datos y he podido verificar que tu web debe cumplir con la LOPD, pues tienes un formulario de contacto en el que pides el nombre y el correo electrónico para que puedan contactar contigo y de igual forma tienes un servicio de lista de suscriptores (con Mailchimp, igual que yo). Así que me temo que sí debes observar lo que se dice en mi post. Un saludo.
Hola!
Estoy leyendo vuestra conversación y siento no estar de acuerdo con la respuesta.
En el artículo 2.2a de la Lopd se establece que dicha Ley NO será de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
Por lo tanto, si tu blog es una actividad a título personal , no tienes obligación de cumplir la Lopd, del mismo modo que tampoco tienes obligación de, por ejemplo, registrar ante la AEPD los ficheros de tu agenda de contactos familiares y personales.
En mi caso, por ejemplo, si creo un blog o página web de informática con consejos y trucos sobre internet con la idea de contactar con la gente para venderles mis servicios profesionales, tengo que cumplir la Ley, pero si creo un blog sobre la cría del caracol arbolado porque mi hobbie es criar caracoles y quiero compartirlo con el resto de la comunidad, no hace falta que cumpla con ella.
Otra cosa sería que mañana decidiera ponerme a vender trampas para caracoles, en cuyo caso mi blog pasaría a ser una actividad comercial y sí tendría que cumplir la Lopd. Entonces, además de adaptar mi blog a la Ley, tendría que ponerme en contacto con todos los usuarios ya registrados para comunicarles los cambios, identificarme como responsable del fichero, solicitar su consentimiento para tratar sus datos con fines comerciales e indicarles dónde poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.
1 saludico.
Hola Alfredo:
Muchas gracias por tu comentario. Interesante debate.
Obviamente y como no puede ser de otra manera, estoy de acuerdo contigo en cuanto a la excepción del artículo 2.2 a de la LOPD. La cuestión es, ¿qué debemos entender por actividades exclusivamente personales o domésticas?
Desde mi humilde punto de vista, remitir newsletter o enlaces de los nuevos artículos de un blog no es una mera actividad personal o doméstica.
Si lo único que quiero es compartir mis contenidos con la comunidad, no necesito para ello recabar datos personales de ningún tipo. Por ello, recomiendo tener una política de privacidad en un blog en el caso de que recabemos datos personales.
no contestaste la pregunta en el caso de que solo publique un email de contacto es necesario cumplir con la lopd
Hola Fernando:
Lamento no haber contestado a eso. Si lo que me consultas es si tenemos que cumplir con la LOPD cuando sólo recabamos la dirección de correo electrónico de un sucriptor a nuestro blog, la respuesta es sí, porque la dirección de correo electrónico se considera según la Agencia Española de Protección de Datos como un dato personal.
Un saludo
Disculpa Fernando:
No entendí inicialmente tu consulta. Si en vez de tener un formulario de contacto o de suscriptor, únicamente publicamos nuestra dirección de correo electrónico por si alguien quiere contactarnos, entiendo que no sería necesario disponer de una política de privacidad. Un saludo
Pero si la gente nos envía emails, ¿no estamos almacenando su nombre y cuenta de email en nuestra cuenta de email? O en nuestro ordenador, en caso de que utilicemos la descarga de correo. Gmail por ejemplo va creando la agenda de contactos y eso sería un fichero de datos personales. Si utilizamos esos datos personales para comunicarnos en relación a nuestra web, ¿no deberíamos cumplir también la ley?
Hola Delia:
Pues sí, efectivamente, tienes toda la razón, deberíamos cumplir la ley si efectivamente tratamos los datos personales de alguna manera. Obviamente si borro los datos y no los voy a tener en un fichero organizado, pues no existe tratamiento y por tanto no debo disponer de una política de privacidad.
Así pues, y por cerrar el círculo, debemos disponer una política de privacidad si recabamos datos personales y los tratamos de alguna manera (el simple almacenamiento es una forma de tratamiento).
Lo que quería aclarar en mi comentario a Fernando (y creo que no lo hice con mucha fortuna) es que por el mero hecho de publicar nuestra dirección de correo electrónico como forma de que nos contacten no nos obligará a tener una política de privacidad si no tratamos datos personales.
Un saludo
Hola Nando,
Fantástica tu página.
He llagado aquí buscando información sobre la LOPD para mi blog.
La verdad es que es el tema de los ficheros es un poco laborioso y si que te quería preguntar como en el caso que comentas, los encargados de tratamientos. En concreto si tenemos nuestra página en un hosting y las newsletters por ejemplo en mailchimp, ¿deberíamos inscribir 2 ficheros distintos?, pues es que he visto que solo deja poner en el fichero de inscripción para la AGPD un solo encargado :S.
Tengo otra duda, que no sé si os ha pasado, si tuviéramos que gestionar los comentarios nosotros, seguramente tendríamos que guardar IP y datos varios, como datos personales que influyen en la protección de datos. Pero ¿si utilizamos disqus? Tendría que verificar si utilizando este sistema se guarda algún dato de información personal en nuestro sistema o directamente se delega todo en disqus y lo que más me inquieta… ¿Disqus sería un nuevo encargado de tratamiento?¿Un nuevo fichero para la agpd?
Saludos
Hola Jesús:
Encantado de que te haya gustado el blog. Muchísimas gracias.
En cuanto a las consultas que me planteas, voy a intentar darte una respuesta:
Ante la AEPD hay que declarar tantos ficheros como manejemos. Así, puede que tengas sólo un fichero de datos personales sólo de clientes o de usuarios de tu web. También puede que tengas otro fichero de proveedores personas físicas o de empleados, o de lo que se te ocurra.
Si Mailchimp tiene acceso a cualquiera de esos ficheros, eso no implica que tengas que declarar dos ficheros de clientes, por ejemplo, sino que tendrás que declarar un sólo fichero, el de clientes, siendo Mailchimp tu encargado de tratamiento.
Es cierto que la AEPD sólo te deja poner un encargado de tratamiento en el formulario de declaración de ficheros, por lo que deberás hacer constar todos los encargados de tratamiento que tengas en tu Documento de Seguridad (que es una especie de guía de las medidas de seguridad adoptadas en relación con los ficheros que manejas y que estás obligado a tener, aunque no se entrega a la AEPD, salvo que te lo pidan por una inspección).
En cuanto a lo de Disqus, en tanto que Disqus tiene acceso a los datos personales que recabas a través de la web paftra gestionar el servicio de comentarios, también sería un encargado de tratamiento con acceso a tu fichero de clientes.
La LOPD lo que exige es que firmemos un contrato (que puede ser electrónico) con los encargados de tratamiento, exigiéndoles las obligaciones que la normativa de protección de datos nos impone como responsables de tratamiento.
Espero haber aclarado tus dudas. En caso contrario, ya sabes donde encontrarme.
Un saludo, y gracias de nuevo por leerme
Muchas gracias a ti 😉
Muchas gracias por tus respuestas, son de agradecer. A raíz de lo anterior, ¿suele bastar con darse de alta en mailchimp o disqus, y aceptar sus condiciones para dar por formalizado el contrato, o hay que pedírselo formalmente/explicitamente?
Hola Jesús:
Se considera que ofrecen garantías adecuadas las entidades estadounidenses adheridas a los principios de «Puerto Seguro» (safe harbor), de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. La lista de entidades estadounidenses adheridas a los principios de Puerto Seguro está disponible en http://www.export.gov/safeharbor. Tanto Mailchimp como Disqus, se encuentran adheridas a este convenio de puerto seguro.
En cualquier caso, es recomendable leer el «aviso legal» de cada proveedor que contrates, para comprobar que su política de privacidad es compatible con la nacional. Se trata de que en la contratación con esos servicios se contemplen esas cláusulas de salvaguardia de los datos que manejan.
Para mi blog, hablé con la AEPD y declaré que existía una transferencia internacional de datos a la empresa titular de Mailchimp. En la AEPD, la conocían perfectamente y una vez identificada registraron mi fichero de usuarios y/o suscriptores del blog.
Un saludo
Hola Nando,
Gran artículo para un tema tan delicado.
Te quería hacer una consulta.
Tengo muchas páginas que tienen formularios de contacto, tanto blogs, webs y otras páginas que alquilo a clientes.
La verdad es que se me hace un poco tedioso dar de alta más de 200 inscripciones en la Agencia.
¿Se podría hacer una genérica que abarque todas estas páginas o tengo que ir una por una?
O, si son blogs que pertenecen a una misma red, vale con dar de alta sólo una inscripción para esa Red… o hay que dar de alta blog a blog?
¡Muchas gracias por tu ayuda!
Saludos
Hola Juan Carlos:
Muchas gracias por tu visita al blog y por tu comentario.
En relación con tu consulta, no habría problema a inscribir un único fichero ante la AEPD, que fuera por ejemplo, de clientes o suscriptores, siempre y cuando el responsable de tratamiento de esos datos recabados a través de tus diferentes blogs sea el mismo.
El problema que veo a eso es si se llegara a producir un cambio en la titularidad del blog, si podrías identificar desde qué blog has recabado los datos personales. en caso de un cambio en el responsable de tratamiento habría que comunicarlo a los usuarios y a la propia AEPD.
Espero haber aclarado tu duda.
Un saludo
Estimado Juan Carlos:
Eso ya depende de cómo vayas a gestionar tu base de datos. Lo más importante es que sepas identificar cada usuario con la web en la que cuando te proporcionó sus datos, dio el consentimiento al tratamiento de los mismos y a su inclusión en un fichero.
Hola Nando,
Un artículo muy útil para todos los que tengan en mente abrir un blog. Es un tema en el que la mayoría no se para a pensar a la hora de abrir un blog pero puede resultar en más dolores de cabeza que otra cosa si lo ignoras. Ahora bien, sin alejarnos mucho del tema, en el supuesto caso de hacer un directorio de blogs, podría registrar sus direcciones web y los nombres de sus blogs sólo con el consentimiento tácito, sin consentimiento expreso? (es decir, informándoles mediante los medios que ofrecen los bloggers para contactar con ellos de que voy a registrarlos y que tienen la posibilidad de borrarse en caso de no estar conformes PERO no esperando a obtener una respuesta por su parte). No he podido encontrar información respecto a estos casos en concreto y es algo que tengo en mente, pero quiero estar al 100% seguro del tema legal. Gracias
Hola Gorka:
Muchas gracias por tu visita al blog y por tus comentarios.
En relación con la consulta que me planteas, entiendo que podrías hacer un directorio de blogs, en tanto en cuanto sólo enlaces a esos blogs y no reproduzcas ningún texto o contenido de tales blogs. No obstante, es recomendable pedir autrización. En cuanto a las direcciones de correo electrónico, es otro tema. Las dirección que publica el blogger tiene una determinada finalidad (ponerse en contacto con él, ejercitar los derechos ARCO). No obstante, el hecho de que aparezcan publicadas en un blog, no quiere decir que pueda utilizarlas cualquier tercero. Internet, por muy raro que pueda parecer, no tiene la consideración de «fuente accesible al público», por lo que se requerirá el consentimiento de los afectados para utilizar esas direcciones en la forma que refieres.
En cualquier caso, mi consejo es que pidas autorización a los bloggers tanto para realizar un directorio en el que incluyas los blogs, como para incluir sus direcciones de contacto, para evitar tener que lidiar con situaciones indeseadas.
Un saludo
Hola Nando!
Primero de todo felicitarte por tu blog y por el artículo.
Quería realizarte una cuestión al respecto:
En el caso hipotético de que tenga una web presencial (En la cual expongo los contenidos de mi actividad profesional), muy básica, que cuenta con un formulario de contacto que opera con .POST en vez de con .GET, es decir, no almacena los datos en mi Base de Datos, sino que ejecuta un PHP automático que envía un mail a mi cuenta de correo con los dato que se hayan cumplimentado….¿sería necesario cumplir con la LOPD o en este caso estaría exento?
Muchas gracias de antemano.
Un cordial saludo
Hola Pablo:
Gracias a ti por la visita. En el caso que expones, sería algo parecido a que alguien te mande un mail directamente con sus datos personales para una determinada finalidad. En ese caso no sería necesario el consentimiento previo del cliente y/o usuario si vas a utilizar los datos para una finalidad concreta que se desprende de la información que consta en la web.
No obstante, si deberás tener un fichero inscrito y dependiendo de lo que vayas a hacer con esos datos (si vas a utilizarlo para algo más que para atender su solicitud o si los vas a ceder a un tercero), deberás hacer constar una política de privacidad que el usuario en ese caso sí debe aceptar.
Por tanto, en cada caso hay que analizar la cuestión y valorar qué obligaciones de la LOPD y de su Reglamento de desarrollo hay que cumplir.
Un saludo y gracias de nuevo
Hola Nando muy interesante tu blog, hasta hoy no lo conocía. He leido tu post y los comentarios de tus lectores, buscando una situación similar a lo que me ocurre, pero no me parece haberla encontrado.
Estoy desarrollando un blog de noticias en el que los usuarios pretendemos que se logueen o registren a traves de sus cuentas de Facebook.
Básicamente, el registro será para que puedan comentar las noticias. En este caso, ¿siendo facebook quien maneje los datos de nuestros usuarios, tendremos nosotros que darnos de alta y crear pues los ficheros? ¿Cómo nos afecta la LOPD?
Un saludo y muchas gracias
Muchas gracias, Juanma. Un placer tenerte por aquí.
En relación con tu consulta y en tanto en cuanto trates de alguna manera los datos de los usuarios de tu blog, ya sea almacenándolos o utilizándolos para realizar tareas de mail marketing, por ejemplo, deberás dar de alta un fichero de usuarios ante la AEPD, pues si decides la finalidad para la que vas a usar esos datos, tendrás la consideración de responsable de tratamiento.
Espero haber aclarado tu duda.
Un saludo
muy interesante el articulo, felicitaciones
Muchas gracias. Un saludo
Buenos días,
Soy nueva en esto…
Estoy pensando en abrir un blog y quiero cumplir todos la LOPD…
Veo que hay que inscribir un fichero en la AEPD, pero no sé cuál el fichero… Cómo identificarlo…
Tendré formularios de contacto
Gracias por su ayuda
Me encanta el blog
Hola María:
Muchas gracias por tu visita ;). Deberás identificar los ficheros de datos personales que vayas a tratar. Por ejemplo, si sólo vas a disponer de un fichero de datos personales de suscriptores al blog, bastará con que des de alta ese fichero ante la AEPD. Si por el contrario, vas a tratar otro tipo de datos personales como empleados, proveedores o de curriculums vitae, también tendrás que dar de alta esos ficheros.
Un saludo
Nando muchas gracias por tu rapidez!
Yo voy a recoger mails de gente que me pida información pero no sé identificar el fichero…
Cómo sé cual es el fichero?
Hola de nuevo, María:
El fichero será todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Por ello, el fichero que debes dar de alta ante la AEPD se podría llamar algo así como por ejemplo «usuarios o clientes de la web http://www.nombredelaweb.com«. La inscripción del fichero consiste en comunicar a la AEPD el tipo de fichero de datos que vas a tratar y cumplir con las obligaciones de la LOPD y su Reglamento en materia de información, obtención del consentimiento para comunicaciones comerciales, medidas de seguridad, etc.
Por ejemplo, un fichero puede ser incluso la bandeja de entrada de tu correo electrónico, pues ahí se almacenan los datos personales de las personas que te piden información.
¿Me he explicado ahora mejor? En cualquier caso puedes encontrar más información en cuanto a la inscripción de ficheros en la web de la AEPD. Te dejo un enlace https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/index-ides-idphp.php
Muchísimas gracias!!!!
Saludos Nando,
Excelentísisisimo post, de verdad… Estos temas siempre son peliagudos y gracias a este tipo de información se nos aclaran las dudas.
No obstante me ha surgido una duda, muy tonta sí, pero he de plantearla.
En mi caso tengo una web, con el aviso legal, la política de cookies y la política de privacidad. Me falta por tanto notificar el alta de ficheros. ¿Pero no entiendo, quien almacena ese fichero de datos? Nosotros solamente recabamos información por si alguien quiere dejar un comentario, pero ese fichero lo tengo yo, o lo tiene mi proveedor de hosting…
Se que será una pregunta realmente absurda, pero no sé como llegar a ese fichero que almacena datos.
Abrazos
Buenos días, Mauri:
La pregunta que planteas no es en absoluto tonta ni absurda. De hecho es la mar de interesante.
Verás, habrá que ver dónde se almacenan los datos de las personas que introducen sus datos en el formulario de contacto de tu web. En cualquier caso, tú eres el Responsable de tratamiento de los datos que recabas a través de tu web, pues decides cuál es la finalidad a la que vas a dedicar esos datos.
Si se almacenan en el servidor de tu proveedor de hosting, sigues siendo el Responsable de Tratamiento, y tu proveedor de hosting será un Encargado de Tratamiento, en tanto en cuanto tiene acceso a esos datos personales que trata (aunque sólo los almacene) siguiendo las instrucciones del Responsable de Tratamiento (en este caso, tú mismo). Pasa lo mismo en el caso de proveedores de herramientas de Mailmarketing como Mailchimp, Mailrelay, Acumbamail o cualquier otro, se recaban datos a través de tu web que se almacenan en los servidores de estos proveedores de servicios. Son también, por tanto Encargados de Tratamiento.
También puede suceder que el contacto que tienes en la web genere un correo electrónico a la dirección de correo que hayas configurado y que por tanto te vayan llegando mails de las diferentes personas que desean contactar contigo. No se está generando un fichero de forma automática, pero puedes ir guardando y ordenando esos datos personales. En ese caso estás generando un fichero.
Esta es la definición de Fichero de la Agencia Española de Protección de Datos: «todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso».
En cualquier caso, tu bandeja de entrada ya podría ser considerada como un fichero, porque de alguna manera puedes sistematizar la búsqueda de esos contactos.
No olvides que también deberías disponer de un documento de seguridad.
Espero haber aclarado tus dudas.
Muchas gracias por tus comentarios.
Un saludo
Muchísimas gracias por tu comentario, Nando.
Espero verte en el World Quondos Record,
¡Saludos!
Gracias a ti, por visitarnos. Por supuesto que nos vemos en el World Quondos Record. Un saludo!
Hola! Enhorabuena por tu blog, que ha sido todo un descubrimiento. Sobre este tema me surgen dos dudas que te comento:
– ¿qué ocurre si tenemos una web (o un blog) alojada en un servidor en España pero que está escrita en inglés y pensada para usuarios y clientes extranjeros, de países europeos? Es decir, tendría información personal (básicamente emails) de usuarios británicos, alemanes, austríacos, suecos, etc y sólo ocasionalmente podría entrar algún email de algún español interesado, pero insistio el mercado español no sería el mercado objetivo.
– mi segunda duda es sobre el tipo de seguridad que debería mantener con el fichero de datos de usuarios/clientes que contactan, ya sea a través de un formulario de contacto o directamente de un email de contacto que aparezca en la web/blog de un empresario autónomo. ¿Es suficiente una copia de seguridad? ¿Asegurar que nadie más tiene acceso a los datos?
Muchas gracias y saludos cordiales.
Estimada Luisa:
La Ley española te será aplicable siempre y cuando tú estés establecida en España. Esto es, que la gestión y la dirección de la actividad se lleve desde España independientemente de dónde esté alojada la web.
En cualquier caso, si diriges tus servicios a destinatarios europeos, deberás cumplir la normativa europea en materia de protección de datos, consumo, comercio electrónico, que como podrás imaginar es muy similar a la española, por cuanto esta última está armonizada con las normas europeas.
En cuanto a la seguridad, la normativa en materia de protección de datos dispone que deben implantarse medidas de índole
técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su
alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza
de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio
físico o natural. Por lo tanto comunicaciones cifradas de los datos, control sobre las personas que acceden a las bases de datos, modificar contraseñas regularmente… Cualquier media que sirva a estos fines.
Un saludo
Hola Nando, estoy muy pez en esto, pero soy informático y estoy en mi actividad quiero incluir la de crear páginas web. ¿Qué ficheros tengo que dar de alta y qué más exigencias y responsabilidades me pueden surgir?
Gracias de antemano,
un saludo
Hola Carlos:
Pues para cumplir con la LOPD, en tanto en cuanto serás responsable de tratamiento de los datos personales que recabes en el desarrollo de tu actividad, deberás de cumplir con las siguientes obligaciones:
Dar de alta los ficheros de datos personales que manejes: Es decir, si los datos personales que recabas son de clientes, deberás dar de alta un fichero denominado clientes. Si tienes proveedores personas físicas, deberás dar de alta un fichero de proveedores. Si tienes empleados, un fichero de empleados,etc.
Por otra parte debes disponer de una buena política de privacidad en la que informes a los que puedan proporcionarte sus datos de todo lo que exige la LOPD y su Reglamento: Finalidad de los datos,si van a ser cedidos o no a terceros, quién es el responsable del fichero, dónde pueden ejercitar los derechos ARCO, medidas de seguridad implantadas, etc. Muy importante implementar una funcionalidad para que los usuarios de tu web acepten esa política de privacidad antes de proporcionarte sus datos y por supuesto poder acreditarlo.
Debes disponer también de un Documento de Seguridad, que es una especie de manual en el que se recogen las medidas de índole técnica y organizativa para proteges los datos que tratas.
Si vas a tener acceso a los datos personales que recaban tus clientes, serías un encargado de tratamiento y tus clientes deberían firmar contigo un contrato en el que te exijan que vas a usar los datos para una concreta finalidad y que son ellos los que deciden sobre el uso que hacen de los datos (artículo 12 LOPD). En caso contrario, podrías ser considerado responsable de tratamiento de esos datos, aunque no los recabes tú directamente.
A grandes rasgos estas son las obligaciones que debes cumplir, pero para estar totalmente tranquilo, lo mejor es que contrates un servicio de implementación de la LOPD, pues es difícil poderte dar una respuesta más exhaustiva mediante una respuesta a tu comentario.
El riesgo que asumes por el incumplimiento de tales obligaciones es la posibilidad de que te impongan sanciones, en algunos casos bastante importantes.
Un saludo
busco y busco y nada, no doy con la respuesta exacta…
TENGO QUE REGISTRAR LA IP DE LOS USUARIOS? si o no?
No soy experto, y tengo una web donde la gente puede poner comentarios, y yo no registré de muchos comentarios esa IP.
Estaba obligado?
mil gracias de forma anticipada.
Estimado Jaime:
Gracias a ti, por tu comentario y por la visita al blog.
Efectivamente, la IP está considerada por la Agencia Española de Protección de Datos como un dato personal. Por tanto, debes dar de alta el fichero correspondiente a clientes, suscriptores y/o usuarios web y especificar en la política de privacidad de tu web que se recaba la dirección IP del usuario.
No sé si te he respondido, porque no sé muy bien a qué te refieres con registrar la IP. No sé si es que no recabas la IP o si te refieres a registrar la IP ante la AEPD, lo que como te digo, no sería necesario, sino que formaría parte del fichero «usuarios web» que sí tendrías que dar de alta ante la AEPD.
Un saludo
Muchas gracias, así lo haré
Hola Nando,
En mi caso a nivel profesional debo disponer de un fichero no automatizado con nivel alto de seguridad puesto que trabajo con datos de salud. Este fichero lo tengo claro y estará unicamente a mi nombre.
Por otro lado contamos con nuestra agenda también no automatizada en la que anotamos los horarios de los clientes que atendemos y disponemos de un teléfono de contacto. ¿Es necesario declarar un fichero para la agenda o si los datos que anotemos en la agenda no permiten la identificación del cliente no sería necesario? ¿Deberíamos dar de alta mi compañera y yo cada una un fichero a nuestro nombre para una misma agenda o podría incluirla como responsable de tratamiento en mi fichero «agenda» sin un contrato laboral entre ambas (somos autónomas independientes compartiendo despacho)?
Mi principal duda leyendo tu post es que ahora estamos lanzando la web y me gustaría contar con un formulario de contacto y con una suscripción al blog (mediante mailchimp). Entonces ¿necesito inscribir dos ficheros 1 para formulario de contacto y otro para suscriptores o con declarar un mismo fichero «clientes de la web» bastaría? ¿Debería considerarlo también con un nivel de seguridad alto o podría ser básico? ¿Debería desarrollar otro documento de seguridad a parte del que tengamos como profesionales de la salud o podría declarar un fichero como no automatizado de seguridad alta y otro como automatizado de seguridad basica?
En el caso de la web ambas tenemos acceso a los correos que nos lleguen por la web y por la suscripción ¿ Deberíamos dar las dos de alta los mismos ficheros y ponernos de encargadas o responsables de tratamiento a la otra o cómo sería más sencillo hacerlo?
Creo que he excedido la cantidad de preguntas límite 🙂 Contesta lo que puedas
Gracias!!
Hola Alicia:
En ningún caso te has excedido de las preguntas límite. No hay límite de preguntas ;). Lo que ocurre es que estás planteando cuestiones que dependen mucho de qué datos recabéis, cómo lo hagáis y qué tratamiento les vayáis a dar posteriormente a esos datos recabados.
Me explico: Si recabáis datos de nombre y apellidos para proporcionar información sobre temas de salud, sin más, es decir, sin que tengáis datos de nivel alto asociados a esas personas, bastaría con tener un fichero de nivel básico. No obstante, si luego vais a almacenar datos de salud asociados a esas personas, obviamente el fichero pasaría a nivel alto.
El tema es si podéis tener claramente diferenciados los ficheros de clientes de nivel alto y los ficheros de clientes de de nivel básico, puesto que el tratamiento que puedes realizar en un caso u otro es diferente.
En cuanto a lo de si tenéis que dar de alta un fichero tú y otro tu compañera, pues pasa un poco lo mismo: Dependerá de quién sea la responsable de tratamiento. Pero por lo que cuentas parece que sois las dos responsables, por lo que quizá sería recomendable que cada una tuviera su fichero y declarara como encargada de tratamiento a la otra.
No obstante, Alicia, dado lo delicado de lo que me planteas, te aconsejo que te pongas en manos de un profesional para hacer una auditoría, pues como ya he comentado a algún otro lector, es un tema delicado y una mínima inversión puede ahorrarte más de un disgusto.
Ojo con el uso de Mailchimp, porque es una transferencia internacional de datos, en cuanto que MailChimp tiene sus servidores en EE.UU. y en la actualidad no existe cobertura legal para esas transferencias internacionales, a pesar de que existe un acuerdo político denominado Privacy Shield, que debe plasmarse en alguna norma. Sólo podrías realizar esas transferencias mediando una Autorización de la AEPD (con los trámites que ello implica) o contando con el consentimiento expreso de tus clientes.
En definitiva, te aconsejo que te asesores bien, pues creo que merece la pena. Un saludo
Un artículo realmente interesante, actualmente en el mundo online debemos cumplir con las exigencias que nos impone la LOPD a nivel de blogs y redes. Ahora inclusive un dominio o una IP es considerada como dato de carácter personal. Tenía varias lagunas sobre este tema en concreto, de los blogs, y me ha ayudado mucho para entender ciertas cosas. Muchas gracias por compartir y un saludo.
Muchas gracias a ti, Estefania por pasarte por aquí.Un saludo
Buenas!!! Tengo una duda respecto a este tema. Actualmente tengo MailChimp para la lista de suscriptores. Además en la web nos comentan en los post. Con estos datos, ¿qué es lo que tengo que hacer?
Muchas gracias y un saludo.
Hola Javier:
Te hago un resumen, porque tu pregunta se presta a una explicación más extensa.
Pues habrá que ver si Mail Chimp se adhiere al Privacy Shield, que como sabrás es el sustituto del Safe Harbor, que quedó invalidado por la Sentencia del TJUE de 6 de octubre de 2015.
En caso de que no estén adheridos al Privacy Shield, habrá que pedir una autorización a la AEPD para poder realizar transferencias internacionales a EE.UU. con todo lo que ello implica (Aportar un contrato con Mail Chimp, traducido y apostillado, etc.) o recabar el consentimiento inequívoco e informado del usuario a la transferencia internacional de datos.
Obviamente deberás disponer de una política de privacidad en la que informes al usuario la finalidad para la que se recaban sus datos, a quién se los cedes, quién es el responsable de tratamiento y dónde puede ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición).
Un saludo
Hola.
Tengo una duda bastante tonta pero es que no encuentro la respuesta. Yo tengo un blog que llevo para una empresa, pero ni tenemos lista de suscriptores, ni permitimos comentarios.
Lo que si tenemos es un formulario de contacto donde cualquier persona nos puede dejar sus datos personales. Eso nos llega al correo eletrónico, para que podamos responderle. El correo se elimina pasado un tiempo y esos datos solo se utilizan para proporcionar respuesta al cliente.
¿Se consideraría eso un fichero de datos que deba estar inscrito ante la Agencia de Protección de Datos?
Saludos y gracias
Hola Jorge:
Ninguna duda es tonta ;). Gracias a ti por la visita al blog.
Verás, se entiende como fichero “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Por tanto, los datos que se almacenan en el correo electrónico (Outlook, por ejemplo) es un fichero de datos que debe ser dado de alta ante la AEPD, a menos que sea para un uso personal o doméstico.
Espero haber aclarado tu duda.
Un saludo
Muchas gracias, me ha quedado perfectamente claro. 😉
Buen día Nando.
Ante todo unirme a las felicitaciones y agradecimientos por tu post, y por las respuestas. Tengo una consulta que me parece no has contestado en ocasiones anteriores. Soy consciente de que debo inscribir los datos, sin embargo no soy (actualmente) autónomo pues no tengo, ni tendré en los primeros meses, actividad comercial relacionada con mi web. La pregunta es si puedo dar de alta un fichero sin ser autónomo, porque si no estoy percibiendo ingresos resulta un poco extraño para mi tener que pagar una cuota mensual de autónomo para poder cumplir con un requisito, pero bueno ya me dirás cómo funciona esto. El propósito de mi fichero es poder enviar comunicaciones periódicas y ocasionales a los suscriptores.
¡Gracias!
Roberto
Hola Roberto:
Muchas gracias a ti, hombre.
A ver, que me estás mezclando aquí dos términos ;). Tendrás que cumplir con la LOPD si recabas datos personales que no utilices para una finalidad doméstica o privada. Así pues, aunque no obtengas ingresos, tendrás que ragistrar los ficheros, disponer de una política de privacidad y de un documento de seguridad.
Lo de darte de alta como autónomo, cuando realices una actividad de forma habitual que genere ingresos.
Un saludo
Genial. Entonces no es necesario lo de darse de alta como autónomo, al menos mientras no se generen ingresos. ¡Muchas gracias! Ha sido de mucha utilidad el post y tus respuestas.
Me alegro mucho, Roberto. Un saludo
Hola,
Primero de todo y al igual que los demás «auxiliados» de la web quería agradecerte tu atención y felicitarte por tus comentarios claros y pedagógicos.
Te comento mis dudas:
Quiero montar un blog, a nivel particular, no como empresa. Sería un blog sobre historia y referencias bibliográficas. No se contempla ni registro de usuarios, ni comentarios, ni suscriptores. La plataforma sería WordPress.com.
Mis dudas han surgido porque hace unos cuatro años monté una empresa y en ese caso si que inscribí un fichero y redacté el documento de seguridad.
Mis dudas son porque al estar alojado en WordPress.com, no tengo acceso al servidor y no se cuál es el fichero y ni siquiera se donde están alojados los blogs y me parece difícil declarar como encargados del tratamiento a los de WordPress. ¿Sería obligatorio estar inscrito en la AEPD?
Respecto del aviso de cookies quería saber como me afectaría pues no tendría Google Analytics instalado dado que en los blogs gratuitos no se permite.
Saludos y gracias!!
Hola Sergio:
Gracias por contactar. Si no recabas datos personales no importa si WordPress es o no encargado de tratamiento, por cuanto no tiene acceso a ningún dato personal.
En caso de que recabes datos personales, Worpress.com te presta un servicio de alojamiento del blog, y efectivamente sería un encargado de tratamiento y efectivamente deberías tenerlo como tal en tu documento de seguridad.
Si no obtienes rendimientoS con el blog, no tienes que advertir del uso de cookies, porque no le aplica el artículo 22.2 de la LSSI, al no ser un prestador de servicios de la sociedad de la información.
Un saludo
Hola Nando,
Gracias por tu respuesta.
Yo pensaba exactamente igual respecto a las cookies pero he leído por ahí que afecta a los blogs de los particulares porque por ejemplo el simple hecho de enlazar a una red social, como los botones «me gusta» o «twitear» ya requiere del uso de cookies y el usuario tendría que aceptarlas.
Respecto de la LOPD cómo se declara que WordPress trata datos, en caso que sea así, y cómo redactas un documento de seguridad si no tienes acceso al servidor y por tanto no puedes saber donde se ubica ni las claves de acceso.
Saludos.
Hola Sergio:
Debo insistir, si no generas ingresos directos o indirectos, no eres un prestador de servicios y no te aplica la LSSI, por lo que no tienes que avisar de la utilización de cookies, aunque sean de plugins sociales.
Wordpress.com puede tener acceso a los datos que recabes a través del blog siempre y cuando aloje los mismos en su servidor. Es como cuando contratas un servicio de hosting para una web en WordPress.org. Tu documneto de seguridad debe contemplar que worpress.com es encargado de tratamiento.
Un saludo
Otra pregunta Nando. Al inscribir ficheros, e indicar que se utiliza MailChimp, existe una «transferencia internacional» a una empresa que ya ha sido aprobada, por lo que en la inscripción del fichero solicita un «Código de autorización». ¿En dónde se puede encontrar ese código?
Gracias una vez más
Hola Roberto:
Te cuento: Según la política de privacidad de Mail Chimp (De la empresa The Rocket Science Group) se han adherido al Privacy Shield, que es un acuerdo entre Europa y EE.UU. que viene a sustituir al Safe Harbor. Por lo que en principio, sería una transferencia internacional lícita sin necesidad de autorización por parte de la AEPD.
Salvo que esté equivocado, no necesitarías ningún código de autorización.
Lo que pasa es que si consultas la lista de empresas adheridas al Privacy Shield en este enlace https://www.privacyshield.gov/list, no aparece The Rocket Science Group.
Si MailChimp no está adherida, efectivamente debería autorizarse la transferencia internacional (o que el usuario consienta de forma expresa a la misma), y entiendo que es la propia agencia la que proporciona ese código de autorización.
Si no te convence mi respuesta, te animo a que llames a la AEPD.
Un saludo
Creo que intentaré contactarles entonces. Entiendo que están adheridos, pero en la guía de la AEPD (
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/documentacion/common/pdfs/Guia_rapida_NOTA.pdf) en la última parte hablan de un código, pero no me he animado a iniciar el proceso porque quiero tener todo a mano para hacerlo con paso firme, pero llamaré a la agencia tal como sugieres. Muchas gracias de nuevo.
Perdona, entre lo que comentas, dices que una opción es que el usuario «consienta de forma expresa», ¿cómo se hace esto? He llamado a la agencia y me dice que «en principio» entiende que no es necesario ningún código, pero tal como indicas en tu comentario, no encuentro ni a «The Rocket Science Group» ni a MailChimp en la lista, entonces estoy un poco descolocado y no sé bien por donde ir. Muchas gracias de nuevo, ¡y disculpa por ser tan pesado!
Hola Roberto:
Pues una opción sería una casilla de aceptación a la transferencia internacional de datos con un enlace en el que se explicara por qué motivo se transfieren esos datos.
No obstante, si te lees a política de privacidad de MailChimp (http://mailchimp.com/legal/privacy/)incluyen la mención de que están adheridos al Privacy Shield. Quizá es cuestión de tiempo que aparezcan en el listado de https://www.privacyshield.gov/list
Un saludo
Hola, gracias por escribir sobre este tema.
Tenemos una pagina con IP en Italia pero la utilizamos en Canarias….necesitamos hacer todo este proceso NOTA?
En Italia con tener la informativa sobre los cookies y el utilizo de datos personales ya està.
Mil gracias
Silvia
Hola Silvia:
Gracias a ti por la consulta.
Te transcribo lo que dice el artículo 2.1. de la Ley Orgánica de Protección de Datos:
Artículo 2 Ámbito de aplicación
1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que
los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público
y privado.
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un
establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la
legislación española en aplicación de normas de Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el
tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con
fines de tránsito.
Así pues, en mi opinión sí debéis de dar de alta los ficheros.
Sin embrago esta exigencia no se contempla en el nuevo Reglamento de Protección de Datos Europeo, por lo que es posible que a partir de mayo de 2018, o incluso antes, si así se estableciera, no haga falta dar de alta los ficheros. No obstante, ahora mismo sigue siendo una exigencia de la normativa española.
Un saludo
Hola Nando, muy didáctico tu blog. Tengo un gran problema de privacidad con mis datos personales y no sé cómo interpretar la ley en este sentido. Todos mis datos personales (nombre, apellidos, domicilio completo, nº de tf., correo electrónico [solo falta el número de mi cuenta y el pin de la tarjeta] etc.) aparecen publicados en varias webs que registran la titularidad de dominios y hosting. El caso es que yo no he dado consentimiento expreso a estas empresas para publicar mis datos personales y además ponen en serio riesgo mi seguridad y privacidad. Habiendo consultado a la empresa donde registré mi dominio y hosting me comunican que oculte mis datos en el área de clientes (llamado whois) y que ellos no se hacen responsables de la gestión ilícita que hagan las demás empresas. Tras la ocultación de mis datos en el «whois» continúan publicados en las citadas webs y siguen sumándose otras. Lo he notificado a estas empresas por varias vías y me ignoran ¿si he publicado mis datos personales de alguna forma por desconocimiento o error forman parte del dominio público o tengo derecho a denunciar?. Muchas gracias.
Hola Luís:
Tú eres el dueño de tus datos personales y dispones del derecho a acceder, rectificar, cancelar y/U oponerte al tratamiento de tus datos en cualquier momento y siempre que esté justificado. Por ello, puedes requerir a esas webs para que eliminen tus datos, e incluso acudir ante la Agencia Española de Protección de Datos.
Un saludo
Gracias Nando! he consultado muchos blogs y me he intentado leer las leyes, y tu pagina es la que me ha inspirado para por fin hacer la pagina de mi blog de politica de privacidad y ajustar mis plugins! Gracias por tu estupendo trabajo!
Supongo que no te importara que imite como funciona tu pagina en este sentido
Aquí tienes un seguidor!
Y si teneis dudas acerca de soluciones en cirugía plastica, pues ya sabeis… visitar la el blog que estoy arrancando con mi pareja (palomamejina.com) de cirugía plástica.
Saludos
Jordi
Hola Jordi:
Muchas gracias por tus amables comentarios. Un saludo y mucha suerte con tu blog.
Hola Nando, da gusto gente como tu y que clarito, dos cosas, primero una pregunta, si una empresa ofrece servicios de alojamiento a sus clientes, pero a su vez ella utiliza una empresa para alojar lo suyo y lo de sus clientes (vamos intermediaria), que fichero tiene que declarar ante la AGPD, aparte de los normales osea uno de clientes, ¿tendría que declarar otro de alojamientos o de bases de datos?.
Segundo un comentario, me he leído todos los comentarios del 2016 (muy interesante), para tener que cumplir no es necesario solamente un beneficio económico, con tener un beneficio de imagen comercial, vale para tener que cumplir con ella.
Muchas gracias, un saludo enorme
Hola Juan Marcos, te contesto a las preguntas al revés de como me las formulas, primero a la última:
1) La LSSI-CE refiere en su Anexo «Definiciones»: «El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios». Por lo que un blog corporativo en el que no se vende nada, pero promociona la imagen de una empresa, también debe cumpir con la LSSI-CE.
2) Entiendo que debe declarar un fichero de clientes, pero tanto en su política de privacidad, como en su documento de seguridad deberá hacer constar la circunstancia de que utiliza a un hosting reseller como encargado de tratamiento, al que deberá exigirle que le firme un contrato conforme al artículo 12 de la LOPD.
Muchas gracias a ti. Un saludo
Perdona, para cumplir con la LSSIce
OK, entendido 😉
Hola, buenas tardes / noches
Tengo una duda sobre el tema de las cookies y el tema de los CDN
Yo tengo un blog (en la cual se encuentra en construcción) cuya única cookie es la de Cloudflare. No se permite los comentarios ya que se puede comentar en las redes sociales con total tranquilidad, no va a haber suscripciones ni otros elementos que tenga que almacenar
Mi blog está alojado en EEUU y en el panel de control del alojamiento no hay una sección donde aparezcan los logs (Lo cual es una buena señal) pero en Cloudflare hay una sección de estadísticas en la cual no aparecen datos personales (Pero se pueden activar, cosa que no tengo intención de hacer). Está alojado en el servidor x10hosting
Mi blog es únicamente para añadirlo a mi CV como experiencia para poder trabajar en un futuro en los medios de comunicación, como va a haber neutralidad no mencionaré a ninguna marca para no dar publicidad.
Mis dudas son las siguientes:
1) ¿Debo crear un fichero de protección de datos sabiendo de que no tengo acceso directo a las estadísticas donde aparece datos personales?
2) ¿El hecho que tenga el alojamiento en los EEUU pero que no almacene datos, implica crear algún documento para la LOPD?
3) ¿Tendría que cumplir la LSSI sabiendo de que mi blog no es comercial?
Saludos
Hola Blogger:
Si puedes tener acceso a datos personales (aunque no actives esa funcionalidad), debes disponer de una política de privacidad informando de ese extremo, así como una política de cookies, informando de uqe utilizas cookies analíticas.
En mi opinión, debes informar también de que no recabas datos personales, pero como quiera que utilizas Cloudflare, podrías recabarlos y que además podrías realizar una transferencia internacional de datos. Por lo que te aconsejo que recabes el consentimiento a tal fin de tus usuarios.
En el caso de Cloudflare en realidad no sería necesario, por cuanto están adheridos al Privacy Shield. No obstante, no encentro la empresa titular del servidor de x10hosting, por lo que no pudo comprobar si esa empresa está adherida al mencionado Privacy Shield, siendo imprescindible en ese caso , que el usuario autoririce una eventual transferencia internacional de datos (sí, aunque de momento no trates datos. Porque sí podrías hacerlo, no?).
En cualquier caso, tanto CloudFlare, como x10hosting serían encargados de tratamiento, porque podrían tener acceso a datos personales y por ese motivo deberías tener firmado con ellos el contrato que refiere el artículo 12 de la LOPD. Complicado, ¿verdad? Por eso es mejor trabajar con proveedores europeos, aunque sí, son más caros.
Si con tu blog no obtienes ningún tipo de ingreso (que no beneficio) ni directo ni indirecto, efectivamente no es un prestador de servicios de la sociedad de la información, y por tanto no le aplica la LSSI-CE.
Un saludo
Hola Nando,
Yo trabajo como colaborador freelance con otras empresas, me dedico a generar leads mediante landing pages mías, en algunos casos la info de esos leads pasan primero por mi email (y una vez se la paso a mi cliente la elimino), y en otros casos va a parar directamente al email del cliente.
El hecho es que al final del día yo no guardo ninguna información de esos leads.
Entonces la duda es la siguiente:
El aviso legal que debo poner en el formulario de mi landing page, ¿puede estar directamente al nombre de mi cliente?
Muchas gracias de antemano, buena trabajo.
Hola Víctor:
Por lo que me cuentas, a través de tus landing pages estás recabando datos personales que luego cedes a tus clientes. Por tanto, eres un responsable de tratamiento de esos datos personales y debes advertir a los usuarios de tus landing pages a quién se los vas a ceder para que puedan autorizarte a tal fin. Y no vale una autorización genérica, sino que debes proporcionar los datos de los cesionarios y la finalidad de dicha cesión.
Otra cosa es que le diseñes la landing page a tu cliente y sea tu client el que recabe los datos, a los que puedes tener acceso. En ese caso serías encargado de tratamiento de esos datos y ahí, sería tu cliente el quedebería advertir que tú , como encargado de tratamiento podría tener acceso a sus datos y por ello debería firmar un contrato contigo de los que refiere el artículo 12 de la LOPD.
Un saludo
Hola Nando,
muy interesante tu web y tus artículos.
Quería hacer una pregunta, qué debo hacer respecto la LOPD si soy un freelance que quiere mandar un e-mail ofreciendo mis servicios a empresas y uso el e-mail de contacto que aparece en la web de la empresa a la que me quiero dirigir, info@aaa.com ?
No tengo blog aunque lo quiero crear y seguir tus indicaciones, claro está.
Me ha pasado que he enviado un correo a una empresa, me han dicho que recuerde la LOPD, que debo solicitar permiso, he mandado un e-mail solicitando que me den permiso y que si no quieren, ceso las comunicaciones y me han respondido que proceden a denunciarme a la AEPD.
Sólo he enviado un correo y la solicitud. No entiendo.
Muchas gracias y un saludo,
Christian
Hola Christian:
El artículo 21 de la Ley de Servicios de la Sociedad de la Información prohíbe expresamente la remisión de comunicaciones comerciales por medios electrónicos sin disponer de la autorización del destinatario. Dicho artículo no distingue entre empresas y particulares, prohíbe las comunicaciones comerciales electrónicas a cualquier destinatario sin contar con esa autorización. Aunque esto se regula en la LSSI-CE, corresponde a la Agencia Española de Protección de Datos velar por el cumplimiento de lo que dispone dicho artículo.
Como excepción, ni se requiere dicha autorización cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, deberá ofrecerse al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
En mi opinión, puedes mandar un correo solicitando permiso para enviar comunicaciones comerciales. Si no te contestan o se niegan a que les remitas comunicaciones comerciales, no debes remitir una nueva comunicación o te arriesgas a que te denuncien ante la AEPD.
Un saludo
Buenas tardes. Se te puede denunciar si no tienes el aviso legal , proteccion de datos etc en la web y encima eres empresa o persona publica? Donde se puede denunciar y que puede pasar. Saludos
Hola Mihai:
Claro que te pueden denunciar si no tienes el aviso legal, ni tampoco dispones de una política de privacidad.
El artículo 43 de la LSSI-CE recoge que «la imposición de sanciones por el incumplimiento de lo previsto en esta Ley corresponderá, en el
caso de infracciones muy graves, al Ministro de Industria, Energía y Turismo, y en el de infracciones graves y leves, al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.
No obstante lo anterior, la imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la materia o entidad de que se trate a que se refieren los párrafos a) y b) del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de esta Ley.»
Las sanciones de la LSSI-CE son las siguientes:
a) Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.
La reiteración en el plazo de tres años de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años.
b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.
c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.
En el caso de incumplimiento de la LOPD, las sanciones pueden oscilar entre los 600 € y los 600.000 €.
Un saludo
Hola
Una consulta, si tengo un perfil en instagram o facebook, se considera de igual forma?
Por ej, cuando publico un post y llega a mi base de suscriptores un mensaje de alerta, no estoy haciendo uso de datos personales?
Es necesario tener los requerimientos cibiertos (cookies, politica de tratamiento de datos y aviso legal) en dichos perfiles?
Gracias!
Hola Mdelfe:
En mi opinión, y salvo que no haya entendido tu consulta, entiendo que no tratas datos personales, por cuanto no recabas datos, ni los almacenas, ni haces nada después con esos datos, ¿cierto?
En mi opinión los perfiles se integran dentro de una plataforma a la que tiene acceso aquellos que han accedido a la misma y han aceptado los términos y condiciones de esa red social.
Un saludo
Buenos días,
Muy interesante este post. Yo tengo un blog sobre reflexiones de cine y series y alguna entrada más personal.
https://sofamantaypeliblog.wordpress.com
Según un informe de la AEPD que he consultado (te la dejo aquí por si te es de utilidad: https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/ambito_aplicacion/common/pdfs/2008-0615_Inaplicaci-oo-n-LOPD-a-actividad-de-particulares-que-comparten-fotos-de-sus-hijos-a-trav-ee-s-de-Internet.pdf) me queda claro que aunque es un blog de contenido personal, está ubicado en Internet, con acceso ilimitado a todo tipo de personas, por lo que deja de estar incluido en la excepción que prevé el art. 2.2. a) LOPD, pues mi actividad sobrepasa el ámbito meramente personal o familiar.
Sabiendo esto, me queda la duda de si tendría que cumplir con la LOPD (inscribir los ficheros), porque los únicos datos que tengo son, literalmente, 4 correos electrónicos de personas que se han suscrito por correo electrónico (se les manda notificación al email con cada entrada nueva que publico). El resto de suscriptores, son bloggers como yo con sus respectivos nombres «artísticos».
¿Tengo que inscribir ese fichero de los correos electrónicos?
La verdad que no me queda nada claro. Y me parece exagerado, pero bueno. Quiero cumplir con todas las legalidades.
Muchas gracias. Espero tu respuestas. Un saludo.
Hola Amaya:
Pues como comentas, efectivamente en tu caso puede parecer exagerado. Quizá si sólo tienes 4 suscriptores sí podría considerarse un uso doméstico, personal o familiar.
Lo que ocurre es que nunca se sabe cuando tu blog puede convertirse en un blog de referencia y tener cientos o miles de suscriptores.
Un saludo
Buenos días,
Tengo dos dudas. He estado buscando bastante y no he encontrado una respuesta que me convenza. Las expongo aquí a ver si me podéis ayudar.
En mi web recabo datos personales de dos maneras:
1. Suscriptores, que acabo obteniendo con el típico diálogo emergente y guardando en MailRelay.
2. Usuarios, que se dan de alta como usuarios en WordPress y luego participan en la plataforma (foro y blog) con este usuario.
Aunque técnicamente son cosas muy diferentes (MailRelay vs WordPress) y el objetivo es diferente (recibir contenidos vs participar en la plataforma), la naturaleza de los datos es muy parecida y todo sería «Datos de usuarios y suscriptores» de la web.
Adicionalmente, todos los datos son de suscriptores y usuarios. Es decir, no hay productos de pago y no hay clientes.
Las preguntas son:
¿Es necesario registrar dos ficheros de datos en la AEPD?
Si en algún momento decido ofrecer algún servicio o producto de pago, ¿podré modificar el registro y la descripción del fichero en la AEPD o tendré que registrar un nuevo fichero para clientes?
Muchas gracias.
Buenas tardes:
Pues podrías tener un sólo fichero que se denominara «suscriptores, usuarios y clientes» siempre y cuando el tratamiento de todos ellos sea el mismo. Deberías tener ficheros diferenciados, si por ejemplo en un grupo de los anteriores, por ejemplo «suscriptores» hay algún factor diferenciador que haga que el tratamiento sea diferente (por ejemplo, que se transfieran a otro país o que se cedan a un tercero).
Muchas gracias a ti. Un saludo
Hola Nando,
en primer lugar, enhorabuena por el blog, todavía es difícil encontrar abogados tan puestos en el área digital y menos con información tan clara y precisa.
Respecto al tema de esta entrada tengo varias preguntas:
– Si sólo tienes el dominio sin instalar WordPress ni nada, osea que no aparece si introduces la url. ¿Debes también hacer un aviso legal o como no hay contenido no es necesario? Es que por ejemplo Godaddy te permite incluso hacer privada tu información personal y cumple con la legislación española de LOPD pero no lo tengo muy claro ésto.
– Hay blogs gratuitos donde te permiten crear tu pequeña página web. Por ejemplo, WordPress, ¿son necesarios los textos legales en este caso? Porque tú haces el blog pero la titularidad no es tuya.
Sin embargo, hay otros cuya titularidad también sería de terceros y te permiten publicar tus propios post pero ellos tienen su propio aviso que imagino te cubre a ti también al escribir contenido. Por ejemplo, el caso de Globedia.
– Por último, la cuestión del spam, ¿conlleva alguna multa? Me refiero no ya a hacer spam vía mail o sms que eso sí conllevará algún tipo de sanción sino a la expulsión de foros simplemente por dejar un enlace a tu web. Hoy en día prácticamente no te lo permiten en ningún sitio salvo que lo pagues.
Disculpa la extensión del mensaje pero así puede servirnos a todos los que tengamos dudas similares y muchísimas gracias por tu atención.
Un saludo.
Hola María:
Muchas gracias por tus amables comentarios. Voy a intentar responder tus consultas:
1.- Tendrás que tener un aviso legal en el que identifiques al titular de la web y cumplas con lo dispuesto por el artículo 10 de la LSSI-CE si a través de la web realizas algún tipo de actividad. Y deberás tener una política de privacidad si recabas datos personales para una finalidad que no tenga la consideración de doméstica o particular. Creo que te refieres a que el registrador del dominio permite ocultar los datos del whois del titular del dominio. Pero eso no tiene nada que ver con la obligación de proporcionar información cuando la web es considerada un prestador de servicios de la sociedad de la información, porque detrás de esa web hay actividad económica directa o indirecta.
2.- En el caso de WordPress. com (en contraposición a WordPress.org), tu blog se aloja en los servidores de WordPress, pero si por ejemplo, ofreces servicios profesionales en ese Blog o recabas datos personales, tú serás la responsable de disponer de textos legales y de los datos que recabaes.
El caso de Globedia, entiendo que son los titulares de esa Web los que deben cumplir con toda la legalidad. Al final Globedia sólo te permite publicar un post.
3.- Claro que hay multas por SPAM, y pueden llegar a ser muy elevadas. Dice el art. 38.3.c) de la LSSI-CE: «Son infracciones graves: El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 2»
Las infracciones graves llevan aparejada sanciones de multa de 30.001 hasta 150.000 euros.
Por supuesto cualquier servicio puede establecer en sus términos de uso excluir a cualquiera por realizar SPAM. Hasta las redes sociales tiene regulado esto así.
Espero haber aclarado tus dudas. Un saludo
Mil gracias por tu respuesta Nando.
Respecto al punto 2 no ofrezco servicios profesionales sólo algunos post con algo de contenido… Lo pregunto porque utilizo algunos de estos blogs gratuitos donde puedes crear un subdominio y utilizarlo para crear enlaces a tu sitio y potenciar tus keywords.
Son blogs donde sólo se cuelgan algunos post y ya está. No se recaba ni mail ni se explota con publicidad ni nada de nada, sólo para dar fuerza a mi money site.
No sé si en cada blog que cree es necesario hacer un aviso legal y avisar sobre las cookies. Tampoco si es responsabilidad mía o del titular del dominio principal. Tengo un poco de quebradero mental que espero puedas terminar de resolverme.
Mil gracias por tu atención
Hola María:
Por decirlo de una manera muy sencilla:
Si obtienes rendimientos de manera directa o indirecta a través de un blog, ese blog tiene la consideración de prestador de servicios de la sociedad de la información y por tanto debe cumplir con lo dispuesto en la LSSI-CE: INformación obligatoria a proporcionar, cookies, etc.
Si recabas datos personales, para un uso que no puede considerarse privado o doméstico deberás disponer de una política de privacidad.
Si me hablas de una red de blogs, pues está claro que habrá blogs que aparentemente no moneticen, y que únicamente sean utilizados para darle fuerza a otro sitio que sí monetiza. En mi opinión, sí deben cumplir con la LSSI-CE y disponer de un aviso legal. Otra cosa es que ya sea más o menos difícil averiguar quién está detrás de ese blog.
Un saludo
Gracias Nando!
Entonces, si tengo una red de blogs gratuitos cuyo dominio no es mío debo tener aviso legal pero qué datos debe recoger?
Supongo que también deberá haber un aviso de cookies, quizás con el genérico baste, no?
Mil gracias d enuevo
Hola María:
Pues debes recoger los datos que se indican en el post https://www.elabogadodigital.com/como-hacer-el-aviso-legal-de-tu-web/
Un saludo y mil gracias a ti
Buenos días
Primero que nada, felicitarte por tan excelente sitio.
Estoy desarrollando mi blog en el cual pienso colocar un formulario de contacto similar al tuyo. Mi duda es la siguiente: tengo contratado el servicio de hospedaje en una empresa de Venezuela, el dominio de mi página es .com. y espero llegar en principio a países de habla hispana. ¿Qué debo hacer a nivel de protección de datos? ¿debo hacer el registro en la AEPD?
Saludos y gracias de antemano
Buenos días, José Antonio:
Me queda la duda de dónde estás ubicado tú. Si tú también estás en Venezuela deberás regirte por lo que diga la norma en materia de protección de datos venezolana. Si diriges tus servicios a países de habla hispana, deberás tener en cuenta la legislación de cada país. En concreto, si diriges tus servicios a ciudadanos españoles, deberán atender a la normativa en materia de protección de datos europea, el Reglamento General de Protección de Datos, que ya ha entrado en vigor, pero que se aplicará a partir de mayo de 2018.
Si por el contrario estás ubicado en Europa y tienes contratado un servidor que se encuentra en Venezuela, si recabas datos personales a través de la Web, estás realizando una transferencia internacional de datos ilegal, por cuanto Venezuela no tiene la consideración de país con un nivel adecuado de protección en materia de protección de datos. Lo mejor en caso de que estés establecido en territorio europeo es contratar un hosting europeo.
Un saludo
Muchas gracias por la aportación, poco a poco las empresas nos damos cuenta de la importancia que le tenemos que dar a la LOPD. Gracias por compartir tus conocimientos con nosotros
Hola Nando,
Felicidades por el blog y por este artículo en particular, me está ayudando mucho.
Mi consulta es la siguiente: yo ya tengo un blog con un formulario de suscripción de Mail Chimp y tengo claro que tengo que declarar el fichero. El problema es que ya tengo bastantes suscriptores y no sé si hay algún problema por no haberlo hecho en su momento o si en la AEPD me van a poner algún tipo de multa por esto.
Gracias de antemano,
Saludos
Eva
Hola Eva:
No te preocupes, puedes dar de alta el fichero de suscriptores tranquilamente.
No obstante, ten en cuenta que con el nuevo Reglamento Europeo de Protección de Datos (que ya ha entrado en vigor, pero que se aplicará a partir de mayo de 2018) es muy posible que se elimine esta obligación.Pero de momento, es obligatorio 😉
Un saludo
Hola, buenas tardes,
Quería consultaros, yo no tengo ningún fichero de clientes. Me dedico a alquiler vacacional y todos los datos de clientes lo guardan las plataformas online y sobre mis clientes propietarios al ser pocos (10-12) no guardo un fichero, ya tengo su movil y si numero de cuenta para hacerle las transferencias cuando corresponde y mi programa de email guarda su correo. En resumen no tengo ningun fichero organizado con listado de ningun tipo ni clientes ni proveedores. Qué debo hacer para cumplir la LOPD?
Muchas gracias,
Diego,
Hola Diego:
Claro que tienes ficheros:
Por fichero, a efectos de lo previsto en la norma de protección de datos, se entiende «todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados»
1.- Las plataformas online son encargados de tratamiento de tus ficheros. Tú eres el responsable de tratamiento porque tienes acceso a ellos y se recaban conforme a tus instrucciones.
2.- Tu programa de e-mail es un fichero, porque te permite localizar nombres y datos de las personas que te han mandado correos.
Por tanto, debes cumplir la normativa en materia de protección de datos: declarar los ficheros a la AEPD, disponer de una política de privacidad, recabar el consentimiento informado al tratamiento, disponer de un documento de seguridad en el que se especifiquen las medidas organizativas y técnicas para asegurar la protección de datos, etc.
Un saludo
Buenas tardes Nando. En primer lugar darte la enhorabuena por el artículo y por tu blog.
He buscado en los comentarios pero no encuentro uno que resuelva del todo la duda que tengo.
Tengo un blog en construcción que todavía no me atrevo a sacar a la luz por la LOPD. Estoy a la espera de que me llegue la carta de invitación para la clave PIN para poder inscribir un fichero.
Se que en el caso de tener un servicio de suscripción es totalmente necesario contar con un fichero, pero si solo tengo disponible los comentarios al final de cada post, ¿también es necesario? Entiendo que si, ya que para poder dejar un comentario (al igual que estoy haciendo ahora mismo) se pide el correo electrónico, pero no se si es necesario tener un fichero registrado para esto.
Por otro lado, una vez que acepten el registro de mi fichero ¿debería de hacer algo más? Es decir, una vez me llegue una notificación con la aceptación del fichero, ya puedo estar tranquilo o hay que enlazar de algún modo el fichero con los datos de mi web.
Muchas gracias por tu atención,
Ismael.
Hola Ismael:
Si recabas datos personales que exceden la esfera de un uso doméstico o privado deberás cumplir con la normativa en materia de protección de datos.
No sé si estás al tanto del nuevo Reglamento General de Protección de Datos europeo, que entró en vigor en mayo de 2016 y que será de plena aplicación en 2018.
De momento, y salvo que la AEPD no diga lo contrario, hay que registrar los ficheros (se registra y listo, no tienes que hacer nada más), recabar la aceptación inequívoca, específica, informada y mediante una clara acción afirmativa del usuario. Lo que implica disponer de una política de privacidad que informe claramente al usuario. Además estás obligado a tener medidas de seguridad que aseguren la protección de esos datos, que varían en función del nivel de protección que se requiere para cada tipo de datos.
Un saludo
Hola a todos:
Según tengo entendido la obligación de cumplir la LOPD es independiente de si tienes negocios online o no. Aunque no tengas nada en Internet pero tengas clientes tienes que cumplir con la LOPD si tienes sus datos. Es asi no?
Me gustaría preguntar si las cosas se complican si yo tengo mis datos en la nube de, p.e., Google.
Hola Juan José:
Efectivamente, estás obligado a cumplir con la normativa en materia de protección de datos (Ojo, que ahora tenemos que aplicar el Reglamento General de Protección de datos y está en trámite la nueva LOPD) si tratas datos personales, ya sea de forma automatizada o no, es decir, un comercio que no trabaja en Internet también debe cumplir con esa normativa, pues trata daos personales de clientes, empleados, proveedores, etc.
Tener los datos en la nube implica que tu proveedor de servicios cloud es un encargado de tratamiento de tus datos y deberás tener un contrato firmado con ese proveedor y poder acreditar que el mismo cumple con las medidas exigidas por el RGPD.
Un saludo
Excelente artículo, gracias!
Muchas gracias, Joshua. Un saludo
Hola Nando,
escribo mi pregunta aquí porque no sé muy bien dónde colocarla. El caso es que no sé si descargar programas de Internet es legal, algunos dicen que sí, otros que si es para tu consumo no… El caso es que no lo tengo muy claro y hay varios programas que me han ofrecido por mega y páginas típicas de descarga pero no me he atrevido a hacerlo aunque los necesito.
¿Hay algún problema en hacerlo?
Muchísimas gracias por tu atención.
Hola Marta:
Descargar programas de Internet sin licencia, no es legal, por cuanto se trata de una reproducción y comunicación pública de obras sujetas a derechos de autor. Puedes hacer una copia privada, para uso personal y doméstico de una obra de la que dispongas de licencia, pero eso nada tiene que ver con la puesta a disposición de programas que te puedes bajar de manera gratuita sin la licencia o autorización del propietario de sus derechos.
Un saludo
Hola al jefe! he llegado a tu página por esta noticiaza!, pero ya de paso me he metido en muchas de tus ediciones, y me he suscrito a tu +google, me parece todo lo que escribes muy interesante. Y desde ya te felicito por tu web que acabo de descubrir, y por la generosidad al contestar que demuestras por aquí, alguna preguntilla te haré cuando me entere de todo, muchas gracias.
Muchas gracias, Yolanda. Y aquí estaré, si el poco tiempo del que dispongo me lo permite ;). Un saludo y gracias de nuevo
Muchas gracias por el post. Tengo una empresa en la que llevamos un blog pero soy bastante nulo en materia de leyes, y este post me ha aclarado bastante lo que tengo que hacer respecto a la LOPD. Un saludo.
Hola Paula:
Gracias a ti por pasarte por aquí. No obstante, ten en cuanta que el post es bastante antiguo y ahora debes tener en cuenta el nuevo Reglamento General de Protección de Datos (RGPD), que incluye importantes modificaciones sobre la LOPD. De hecho está en trámite una nueva LOPD que matiza algunos aspectos del RGPD.
Un saludo
Hola Nando como te prometí 🙂 te hago una preguntita, encontré este generador https://goo.gl/UDsK4K qué solo poniendo los datos te da el texto para hacer las tres cosas: aviso legal, la privacidad y las cookies, lo estoy haciendo así, porque sino me pierdo, ¿crees que lo estoy haciendo bien?, y habría que modificar algo, muchas gracias desde ya.
Hola Yolanda:
Lamento decirte que con ese generador de textos, no cumplirías ni con lo establecido en la LSSI-CE, ni con lo que dispone el Reglamento General de Protección de Datos. Se trata de un texto fijo al que puedes añadir el nombre y la dirección de correo.
Para redactar los textos de una web hay que analizar la actividad que desarrolla, el tratamiento de los datos personales recabados que se realiza, proporcionar la información del artículo 10 de la LSSI-CE, verificar qué tipo de cookies instala la web, etc.
Un saludo
Gracias Nando!! algo me imaginaba
Buenos días, primero darte la enhorabuena por el blog, una gran currada y además muy bien explicado, sinceramente llevo como dos días buscando información y aquí es donde he obtenido mayor información.
Verás estoy creando un blog (mi primer blog xD) y tengo una duda, te comento un poco el cometido de mi blog: Mi blog va ha ser una tienda de afiliados de amazon, yo directamente no voy a vender productos, pondré direcciones que llevaran al producto concreto en amazon, creare algún que otro post sobre la temática del blog y a parte la «tienda de amazon». No voy a tener suscriptores, lo único que tendré será un formulario de contacto con el plugin (Contac form 7) y los apartados son los mismos que los que tú tienes (nombre, correo electronico, asunto y descripción) para que me llegue el comentario el usuario debe antes marcar en el formulario la casilla de que acepta la política de privacidad de mi blog.
Mi duda es si tendría que tener el blog registrado en la LOPD o no con el fichero de datos.
Siento el tocho y muchas gracias por todo
Hola Diego:
Por lo que me cuentas, tu blog monetizará vía afiliación. Si a través del mismo recabas datos personales, deberás tener en cuenta lo dispuesto en el nuevo Reglamento General de Protección de Datos (RGPD):Hacer un análisis de riesgos en el tratamiento que haces de datos personales y valorar la necesidad de disponer de un registro de actividades de tratamiento y demás. Lo del registro de los ficheros ante la AEPD, según la vigente LOPD, sigue siendo obligatorio, pero en el proyecto de LOPD, en trámite parlamentario, ya no aparece esta obligación, ni tampoco en el RGPD, por lo que dicho registro pasará a la historia.
Un saludo
Con recabar datos personales a que te refieres? Yo no voy a meter en mi blog ningún formulario de inscripción, ni voy a mandar e-mail para que entren en mi blog, solo contestaré en mi blog a aquellas personas que dejen un comentario (al igual que has hecho tu conmigo)
Por lo que me he informado ya sólo se tendría que cumplir la RGPD no la LOPD ya que quedará obsoleta. He visto en la página de la RGPD que sólo es necesario contestar a una encuenta y en función de las respuesta se genera un documento, ese documento imagino que lo tendré que meter en blog no?
Muchísimas gracias por su atención! Eres una gran ayuda para poder continuar con mi proyecto.
Hola Diego:
Con recabar datos personales, me refiero a que vas a tener acceso a los datos personales de las personas que rellenen el formulario de contacto, con la única finalidad, como refieres, de responder a sus consultas. Eso es un tratamiento de datos, pues almacenas los mismos. Está claro que el riesgo es mínimo y que entiendo que podría bastar con implantar el RGPD a través de la herramienta que refieres de «facilita» de la AEPD: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php
Ese documento se compone de varias partes y tendrás que revisar qué incluir en la política de privacidad del blog y qué no.
Claro que tienes que cumplir el RGPD, pero también tendrás que cumplir la norma nacional, una nueva LOPD, que ahora mismo se encuentra en trámite parlamentario para su aprobación.
Un saludo
Ajam muchas por todo. Entonces tengo que cumplir dos normas? La RGPD y la LOPD? Esta última no quedaba obsoleta con la RGPD??
Podrías indicarme de que trata esta nueva LOPD o algún enlace aunque esté aún en trámite?
Gracias!!:)
Hola Diego:
Te paso enlace al texto de la Propuesta de LOPD: http://www.congreso.es/backoffice_doc/prensa/notas_prensa/57631_1518684517278.PDF
La LOPD quedará derogada con la nueva LOPD, efectivamente y tendremos que tener en cuenta tanto el RGPD, como la nueva LOPD.
La nueva LOPD (el texto del enlace), matiza algunos aspectos que el RGPD, que es una norma europea, deja al arbitrio de cada uno de los estados miembros. Sirva de ejemplo la edad mínima para que los menores puedan prestar su consnetimiento, o un listado de actividades que deberán disponer de forma obligatoria de un Delegado de Protección de Datos.
Un saludo
buf….la verdad que es un tocho importante (con perdón), espero que no sea muy díficil de aplicar ambas normas y que no lleve demasiado tiempo cumplirlas, al menos en mi caso, que imagino que será también muy similar al de la mayoría.
Bueno…muchísimas gracias por toda tu ayuda.
Por cierto, sabes si crearas algún tipo de post o video sobre como cumplir ambas leyes?
Un saludo y mil gracias por todo!
Pues reocojo el guante, Diego ;)… Pero la verdad es que no publico más por falta de tiempo. Me encantaría poder hacerlo más a menudo.
Un saludo
Fantástico blog pero todavía hay algo que no me queda claro; si tengo mi blog personal (un blog dedicado a los gatos por ejemplo) en WordPress.com o en Blogger ¿cómo puedo cumplir con la ley de protección de datos si tanto las cookies como los formularios de subscripción no son gestinados por mi sino por Auttomattic (en el caso de WordPress.com) o de Alphabet (en el caso de Blogguer)?
Hola David:
Muy buena pregunta.
En el caso de los blogs publicados en las plataformas que refieres, estoy de acuerdo que las cookies que se instalan son las de la propia plataforma y por eso salta el aviso establecido por los titulares de las mismas.
Una puntualización, lo del aviso del uso de cookies es una exigencia de la LSSI-CE (art. 22.2), no de la LOPD/RGPD, y la LSSI-CE aplicará si monetizas de alguna manera el blog (de forma directa o indirecta).
Si los formularios de suscripción, efectivamente no los gestionas, es decir no almacenas los datos de los suscriptores, ni tampoco los recuperas para mandarles newsletters, tampoco estarás obligado a cumplir con la normativa en materia de protección de datos. En cualquier otro caso, sí.
Un saludo
Muchísimas gracias por tu respuesta
Hola Nando ,muchas gracias por compartir toda esta información utilisima, tengo un blog personal en el cual solo publico de vez en cuando y no lo monetizo, solo tengo cajetin de seguidores del blog y comentarios, como no me aclaro con el nuevo reglamento y como me afecta a mi blog personal de momento lo he puesto como privado hasta ver que hago con el, si elimino lo de ser seguidor del blog y los comentarios, y lo dejo solo como blog de lectura, ¿estaria ya mi blog cumpliendo con el nuevo reglamento? muchas gracias por tu atención, saludos
hola de nuevo Nando, me he olvidado de decir que tengo el blog en la plataforma blogger
un saludo
Hola Maria Pilar:
Pues dependerá del tratamiento que hagas con los contactos que se suscriben al blog. Es decir si los suscriptores a tu blog se dan de alta en Blogger para seguir tu blog y tú no almacenas ese listado de suscriptores, para luego remitirles un newsletter, no tienes que preocuparte. No obstante, la Agencia publicó la herramienta facilita: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php, que puede ayudarte a regularizar la situación en el caso de que realices un tratamiento de datos personales.
Un saludo
¡Hola!
Que útil ha sido leer tu artículo, aún así siempre queda esa pequeña duda por el desconocimiento en el medio.
Yo soy la autora de un blog, no existen anuncios y tampoco solicito e-mails, detrás de esto no hay ningún fin lucrativo, ¿Debo hacer algún cambio en mi blog?
Gracias de antemano, un cordial saludo.
Hola Salma:
Si efectivamente no monetizas el blog de ninguna manera, no necesitarás proporcionar la información de la LSSI-CE y si no recabas datos personales tampoco será necesario disponer de una política de privacidad.
Un saludo
Hola Nando, ¿Que tal estas? Hace algún tiempo hablamos por teléfono sobre otros asuntos, pero hoy tengo una duda muy puntual respecto de LSSI-CE y LOPD:
Te cuento: Tengo una página que trata sobre artistas y conciertos.
>NO ofrezco suscripción, ni membresía ni «darse de alta» ni registro, nada de eso.
>Por otro lado, acabo de deshabilitar los comentarios y ya nadie podrá comentar.
>NO tengo formulario de contacto. Si halguien me quiere contactar puede hacerlo a la direccion de GMail que ofrezco en la página.
>SÍ tengo AdSense para monetizar la página mediante publicidad.
1) Entiendo que SÍ debo cumplir la LSSI-CE debido a que monetizo mi site con publicidad, ¿verdad? Lo cual implica añadir 3 páginas a mi site: Aviso legal, politica de cookies y politica de privacidad. ¿Cierto?
2) No sé como aplicar la LOPD en relación a los emails que me pueden enviar los usuarios a mi GMail que ofrezco para contactarme (Por cierto, aun no me ha escrito nadie a ese email y puede que nunca me escriban). ¿Se considera eso un fichero vacio? ¿Debo hacer algo relacionado con la LOPD?
Un saludo y gracias!
Hola Santiago:
Efectivamente, en tanto en cuanto monetizas la web, debes cumplir con lo que recoge la LSSI-CE (Proporcionar información al usuario y política de cookies)
En cuanto a la normativa en materia de protección de datos (el RGPD y a nueva LOPD que está pendiente de aprobación parlamentaria) deberás cumplir con ella si tratas datos personales. El concepto tratar datos personales es muy amplio, por lo que almacenar datos personales ya implica un tratamiento.
Obviamente si alguien te contacta a través de tu correo electrónico, y solo vas a utilizar esa dirección para responder al usuario, no necesitas pedirle consentimiento al usuario que te escribe. No estaría de más que redactaras una política de privacidad en la que informes al usuario de quién es el responsable de sus datos, la finalidad del tratamiento, etc.
Un saludo
hola! buscando info sobre el tema RGPD he llegado a ti….
Mi situación es la siguiente: blog de blogger y lo único que tengo es el cajetín de suscribirse de FEEDBURNER.
Que debo hacer y como???
gracias!!! no se ni por donde empezar!
Hola Ane:
La clave está en si tratas datos personales de suscriptores. Es decir, si por ejemplo tienes acceso al e-mail del suscriptor y lo almacenas, deberás disponer de una política de privacidad que informe al suscriptor quién el el responsable de tratamiento, finalidades, destinatarios, si comunicas los datos a proveedores (ojo con los que están en EE.UU.), derechos del usuario, etc. Y articular un sistema que te permita acreditar que el usuario ha leído y aceptado esa política de privacidad: Una casilla de aceptación que genere un log o un doble opt in, que te permite tener la fecha en la que el usuario que ha marcado la casilla de aceptación, con posterioridad ha confirmado su mail (no vale solo con el doble opt in)
No obstante, siempre que el blog tenga un carácter doméstico, sin ningún carácter comercial o profesional, no estaría incluido en el RGPD. No obstante si tienes miles de suscriptores, habría que analizar si se aplica el RGPD.
Un saludo
Saludos de nuevo Nando, a este problema nos enfrentamos todos los usuarios de WordPress.com y de Blogger; no almacenamos nosotros los datos aunque, en el caso de WordPress.com, si podemos ver quién se ha suscrito al blog. Lo mismoocurre con los comentarios; podemos ver quién los hizo y eventualmente eliminarlos aunque no los almacenamos nosotros y en este caso ni Google ni WordPress.com acalran de quién es la responsabilidad. Ante la duda yo he quitado la opción de comentarios en mi blog pero no puedo impedir que la gente se suscriba a él ya que en WordPress.com es una opción por defecto que no se puede eliminar…
Hola buenas tardes Nando,
Me parece muy interesante tu Blog y por ello quería aprovechar para preguntarte sobre el uso de las imágenes que hay en internet de cuadros de pintores del siglo XX . NO se si esta es tu especialidad….Puedo utilizar con fin comercial imágenes extraidas de internet de cuadros de los Pintores del siglo XX ( Kandinsky, Miro, Monet, Van Gogh, Picasso )previos sin solicitar permiso a su descendencia?
Creo que había leído algo sobre que era posible no tener que pagar derechos de autor etcc tras 75 años posteriores. a la obra .pero no estoy segura….
Muchas gracias
NOhemi
Hola Nohemi:
Efectivamente las obras en casi todos los países, entran al dominio público a los 70 años desde el fallecimiento de su autor. El problema es que me planteas hacer uso de las fotos de esas obras y esas fotos tienen sus propios derechos de autor, por cuanto es una obra diferenciada del cuadro.
Precisarás de la autorización del autor de la fotografía.
Un saludo
Hola, Nando.
Muy útil esta entrada. Me sucede lo mismo que Ane: blog de blogger. Mi pregunta es: cómo averiguo si se almacenan los correos de los suscriptores. El blog tiene un carácter doméstico, como dices. Sin fines comerciales ni publicidad. Es un blog de reseñas literarias. Los suscripores se pueden contar con los dedos de las manos.
Entiendo que no estaría incluido en el RGPD. ¿Es así?
¡Muchas gracias!
Hola Ana:
En mi opinión, no aplicaría el RGPD. Un saludo
¡Gracias, Nando!
Enhorabuena por tu web y gracias por contestar tan rápido.
Un saludo.
Buenas Nando! Tengo algunas dudas sobre esta materia y quisiera consultarte para ver si podrías ayudarme. Verás, tengo varios libros publicados en Amazon y tengo intención de crear una web de autor para hablar de mis obras, colgar algunos relatos cortos, consejos de escritura y demás… no ofrecería servicio alguno en la web.
Para acceder al blog, no habría que registrarse, no pondría opción alguna de suscribirse ni tendría los comentarios abiertos. Las páginas tendrían enlaces hacia mis libros en Amazon y para contactar con los usuarios, tendría los perfiles a mis redes sociales.
¿Qué requisitos legales tendría que cumplir en la web en este caso teniendo en cuenta de que los ingresos me llegan desde Amazon (la web no estaría monetizada) y manteniendo el contacto a través de las redes sociales con mis lectores, sin tener ningún dato personal desde la web?
Si te sirve de ejemplo, te pongo un enlace hacia la web de Carlos Ruiz Zafón. Sería una web con esa estructura, pero sin la pestaña «Registro»
http://www.carlosruizzafon.com/es/
Gracias por todo!
Hola Escritor Confuso:
Las webs son consideradas prestadores de servicios se la sociedad de la información y por tanto sujetas a la LSSI, si se obtienen rendimientos de forma directa o indirecta. Si a través de la web estás promocionando algún tipo de actividad, debes disponer de un aviso legal con toda la información de dicha norma, así como una política de cookies, si es que tu web las instala.
Si tratas datos personales, de la forma que sea, ya que no es necesario que lo hagas a través de formularios, debes buscar la manera de informar a tus usuarios del tratamiento que realizas de sus datos y dependiendo de los casos, obtener el consentimiento al tratamiento.
Un saludo
Hola Nando,
Tengo una consulta porque este blog sólo envía mis posts pero no recopila ni maneja ningún dato
Debo de indicar algo, o dejarlo así?
Un Saludo y gracias
http://atreveteaserarte.blogspot.com.es
Hola Lidia:
Si con el blog no realizas ninguna actividad económica de forma directa o indirecta, no tienes que poner ninguna información de la LSSI-CE.
Además, el RGPD no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades.
En caso contrario sí deberías disponer de una política de privacidad y cumplir con lo que establecen la LSSI-CE y el RGPD.
Un saludo
Sólo envío posts y los usuarios se suscriben para recibirlos.
En este caso qué es lo que tengo que poner?
Muchas gracias.
Como te decía, si no tienes una actividad económica relacionada con el blog y no tratas datos personales, no tendrás que poner nada. Pero si tratas (tienes acceso o almacenas los mails de los suscriptores) y tu actividad no puede considerarse como doméstica o particular, deberás disponer de una política de privacidad.
Un saludo
Yo recabo solamente emails de los usuarios que quieran recibir los posts pero mi actividad es doméstica o particular….
No tengo actividad económica relacionada con mi blog pero sí dejan su email.
En esto me lio un poco porque uso sólo sus emails para enviar posts o contacto pero nada más.
Como vengo diciendo si la finalidad es doméstica o particular, no aplica el RGPD, aunque te dejen su mail.
Un saludo
Hola,
Tengo un par de dudas, no me empano, sobre esto. Tengo blogs personales en blogspot.
No tengo ni lista de suscriptores ni guardo información de ningún tipo, sólo en uno el Analytics y el Adsense.
A veces hago sorteos de libros (que dejen un comentario en la misma entrada).
Los comentarios que hace la otra gente están sujetos también a esa ley? Yo tengo que implantar en los comentarios todo el rollo de la protección de datos? Sino me quedo ni con los datos, (aunque se sepa la IP?) He leído todos los comentarios anteriores y tengo más lío que al principio.
Otra duda es por ejemplo en Twitter yo puedo nombrar en mi tuit a otra persona? Porque ya me estoy poniendo conspiranoico.
Gracias
Hola Mini Fu:
Habría que ver en detalle cómo son tus blogs y si realizas o no tratamiento de datos personales. Si tienes acceso a los correos de tus suscriptores y tratas datos de usuarios para luego entregarles el premio, sí deberías disponer de una política de privacidad que informara del tratamiento.
En cuanto a los tweets, puedes nombrar el perfil que esa persona tenga en la red social, pero ojo con publicar nombres y apellidos si autorización.
Un saludo
Hola Nando. Acabo de encontrar tu sitio y lo primero de todo agradecerte tu amabilidad al contestar a tantos comentarios.
Soy nula en leyes y todo lo referente a la nueva ley sobre protección de datos me suena a chino y me marea un poco, la verdad.
Tengo un blog alojado en Blogger que habla de temas de tejido y no lo monetizo de ninguna manera. Es un blog, que es en realidad un hobby para mi. Tengo habilitado un gadget de seguidores (no suscriptores) y la opción de que los lectores dejen sus comentarios a final de cada entrada. He añadido mi dirección de correo para que quien quiera me haga consultas, e indico cómo voy a usar la dirección de e-mail de quien me escriba a mi correo.
Pero no tengo newsletter, ni formularios, ni nada que me parezca listas de ningún tipo (salvo que los seguidores y los comentarios lo sean, que no lo sé).
La pregunta es: ¿tengo que hacer algo con respecto a la nueva ley para estar legal?.
Otra duda es que en mi perfil aparece una lista de blogs a los que sigo… eso se considera también dentro de lo que comenta la nueva ley?
Y encuanto a Pinterest, en uno de mis tableros incluyo fotos de trabajos que otras personas hacen con mis contenidos, señalando de quien es cada foto… ¿eso se considera lista?
No sé si podrás pasarte, pero te dejo la dirección de mi blog por si quieres echar un vistazo
http://www.lacalledelaabuela.blogspot.com
Muchas gracias de nuevo. Un saludo.
Hola Sonia:
Por lo qu comentas, todo parece indicar que se trata de una actividad personal o doméstica, que está excluida de la aplicación del RGPD.
Un saludo
Muchas gracias Nando. Un saludo
Muchas gracias a ti. Un saludo
Por fin alguien que me aclara algo sobre el tema y que sabe. Muchas gracias.
Entiendo que mi blog, un blog sobre manualidades, en las que enseño los trabajos que hago, en la que hago tutoriales, no vendo nada, mis post son leido por mucha gente que me sigue y me envian sus comentarios y yo les respondo..me queda claro que no tengo que hacer nada sobre la nueva ley privacidad..¿verdad?..anda, dime que no..jejeje
Hola Lirtea:
Entiendo que no, pero habría que echarle un vistazo, a ver si hay algo que no me cuentas ;)… Pero vamos, en principio, me parece que no.
Muchas gracias por contestarme a las dos dudas que te plantee.
Entiendo que debo de eliminar la suscripción por correo de mis lectores, dado que no se como modificarla, por lo demás, entiendo que los enlaces a otros blogs o a la tienda en la que compro los materiales y que no es mia si puedo seguir manteniendola, no es lo que se llama cookies a terceros. ¿verdad? Muchas gracias por la ayuda que nos das a los que no sabemos como manejarlos con estas leyes …
Hola Lirtea:
No tienes que eliminar la suscripción, si tú no tratas los datos de los suscriptores.
Las cookies a terceros serían por ejemplo las cookies analíticas de Google Analytics o el pixel de Facebook Ads.
Un saludo
Hola,
yo soy profesora particular de idiomas (autonoma) y trabajo en distintas empresas en las cuales he obtenido la dirección de correo electronico de mis alumnos. Uso estos correos a través de mi cuenta gmail y solamente para enviarles información relativa a las clases como deberes y link para estudiar y para la facturación en algúnos casos. Nunca jamás facilito estos datos a terceros y nunca las uso fuera de gmail.
Tengo que cumplir con la nueva normativa de privacidad. Es decir, tengo que pedir consentimiento escrito a mis alumnos? O, igaul tengo que proporcionarles información sobre el tratamiento de sus datos a través de un correo y notificarles como pueden aceder, modificar y/o borrar sus datos. Necesito que gmail me firme un contrato en relación a la nueva ley, o ya que ellos tb la cumplen según su politica no hace falta contrato escrito entre nosotros? Gracias infinitas de antemano,
Elena
Hola Elena:
En mi opinión, deberías analizar cómo accedes a los datos de esos alumnos y valorar si deben recabar ese consentimiento las empresas para las que trabajas o tú misma. El uso de una cuenta de gmail para labores profesionales no es segura, por cuanto gmail está pensada para usuarios particulares y no para empresas o profesionales que pueden tratar datos personales.
Un saludo
Hola Nando, tengo una duda respecto a la nueva ley y mi web. Es una web curricular sin dar mis datos personales en ella, solamente reflejando mi experiencia en determinados trabajos informáticos y una sección
dedicada a trabajos realizados. Como contacto tengo una dirección de e-mail para que pueda contactarme quién lo estime oportuno.
¿Es necesario en mi caso tener un aviso legal o política de privacidad?
La web sobre la que pregunto es la que reflejo en este formulario.
Gracias de antemano.
Saludos.
Hola Irene:
Todo parece indicar que se trata de una web destinada a un uso personal o doméstico.No obstante si se vincula a una actividad económica o porfesional sí deberás plantearte si debes cumplir con el RGPD.
Un saludo
Gracias por contestar Nando, he quitado el email, teléfono, formulario de contacto y cualquier forma de contacto de un tercero hacia mi persona a través de la web. Sigue quedándome la duda sobre si estoy incumpliendo las normas por no incluir un aviso legal. Toda mi pregunta va enfocada hacia que no quiero que el mundo entero vea mis datos personales en un aviso legal por Internet y proteger mi privacidad ante todo. Mis datos personales ya se los daría a alguien en concreto que me contratara en un futuro para realizar un trabajo de web, tienda online, etc. Pero no quiero que todo el mundo los vea sin más. Ahora mismo tengo quitada la web por la duda de si incumplo o no alguna parte de la lgpd.
No se si me puedes ayudar en lo que te planteo, pero te lo agradecería muchísimo.
Nota: No soy autónoma ni profesional de esto ni tengo empresa relacionada con mi cv online, solo soy una aficionada con bastante experiencia en el mundillo del desarrollo web.
Un saludo y gracias.
Irene.
Hola Irene:
El problema es que si se puede interpretar que tu web ofrece un servicio que puede generarte ingresos, tendrás que cumplir con lo que exige el artículo 10 de la LSSI, que consiste, en definitiva, en proporcionar el nombre, apellido, dirección, etc.
Como te comentaba, la cuestión es si se podría defender que tu sitio web es para un uso particular o doméstico. Si no tiene la consideración de web «corporativa» no hay nada de que preocuparse.
Un saludo
Muchas gracias Nando. Es una suerte tenerte online para resolver todas nuestras dudas. Las resuelves muy bien ;).
Un saludo.
Si tengo un blog y de vez en cuando hago una entrada con un enlace a una tienda que no es mia, pero es donde compro los materiales de manualidades..¿tengo que hacer algo?
Gracias
Hola Lirtea:
Si no existe ninguna vinculación comercial con esa tienda, y tu blog tiene un mero carácter particular o doméstico, no le daría mayor importancia. Si tu blog tiene un carácter comercial o profesional, sí sería conveniente establecer en los términos de uso del blog que los enlaces no están gestionados por tí y que no eres responsable del contenido de esas webs.
Un saludo
Hola Nando , llevo un par de años como hobby personal , creando webs de temática diferente y voy probando plantillas , plugins , algunas han sido de artistas otra sobre especies en peligro de extinción . Pero ahora estoy con miedo de seguir probando nuevas ya que lo que para mi es una diversión no quiero que se convierta en un problema legal . Si sólo escribo posts , comparto fotografías propias o videos , si no hay banner de suscripción , no comercializo con nada , y dejo abierto los comentarios por si alguien quiere . ¿ Solo con la política de cookies sería suficiente ( para las estadísticas de la web ) o sería necesario incorporar algo más ? muchas gracias
Hola Carlos:
En el considerando (18) del RGPD se refiere: El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial.
Si no hay una actividad económica vinculada de forma directa o indirecta a las webs tampoco aplica la LSSI-CE, que en su art. 22.2 regula el tema de las cookies.
Así pues, asegúrate que no cumples los requisitos anteriores para estar obligad al cumplimiento de las normas de aplicación.
Un saludo
Hola Nando,
Estoy desarrollando una plataforma para gestión de pacientes de una clinica de fisioterapia. Esta plataforma ofrece la posibilidad de que te registres y gestiones tus pacientes y su información. En este caso quien sería el responsable de cumplir la protección de datos? yo, como proveedor de la plataforma o un cliente que opte por usar la herramienta?
Un saludo y muchas gracias.
Hola Manuel:
En el caso que expones, si tienes acceso a los datos personales de tu cliente que se alojan en la plataforma que desarrollas, tendrás la consideración de Encargado de Tratamiento, ya que tratarías datos por cuenta del Responsable de Tratamiento, que sería la clínica que ha instalado la plataforma de gestión.
Si únicamente pones a disposición del cliente el software y no tienes acceso a ninguno de los datos de los pacientes de tu cliente, en ese caso no tendrás que preocuparte.
En cualquier caso, si tratas datos personales en el desempeño de una actividad, siempre vas a tener que cumplir con el RGPD, pero dependiendo de los tratamientos que realices tendrás unas obligaciones u otras.
Un saludo
Muchas gracias por tu respuesta!
En el caso que explicaba es una plataforma web. Yo, como administrador, tengo acceso a la base de datos en la que se almacena la información… Eso entraría como «Responsable de tratamiento»?
En ese caso, si adaptase la parte de información del paciente y permitiese únicamente poner una especie de «alias» en lugar de su nombre completo y eliminar la parte de DNI, correo, … ¿La información médica no estaría vinculada a una persona directamente, no? por lo que no sería necesario aplicar la RGPD.
Un saludo
Hola Manuel:
En mi opinión, en tanto que administrador de la Plataforma, y en tanto que puedes tener acceso a los datos de los pacientes de cada uno de tus clientes, serías Encargado de Tratamiento de todos y cada uno de los Responsables de Tratamiento.Es decir, tus clientes serían Responables del Tratamiento y tú serías Encargado de Tratamiento, debiendo tener firmado un contrato de tratamiento de datos como tal y en el que debes asumir obligaciones tales como seguir las instrucciones del Responsable y disponer de las medidas se seguridad adecuadas.
Habría que ver si esa solución que propones sería una auténtica anonimización de los datos. Yo entiendo que sería una mera seudonimización que permitiría fácilmente volver a identificar a la persona física.
Un saludo
Hola Nando:
Estoy creando una web tipo portfolio donde explica quien soy y los dos tipos de servicio que ofrezco. Mi web no utiliza cookies, ni enlaces directos a ninguna red social. Solamente tengo una pestaña de contacto donde está mi correo para todo aquel que quiera mas información, dudas etc. Y una vez aclaradas, se elimina todo rastro.
Entiendo que al ofrecer un servicio, deba redactar un aviso legal para estar localizado.
Te voy poner mi dirección web y agradecería alguna recomendación en el tema de datos. Muchas gracias.
Hola Daniel:
En mi opinión sí debes disponer de la información que requiere el artículo 10 de la LSSI-CE, por cuanto tu web sirve para promicionar tus servicios.
En cuanto al tratamiento de datos, deberás informar a tus cientes o potenciales clientes del tratamiento que realizas, o bien en el momento de la contratación, poniendo a su disposición dicha info en una cláusula dedicada a la política de privacidad. Como quiera que tratas datos personales de tus clientes, deberás cumplir con lo que establece el RGPD.
Un saludo
Buenas tardes, Nando:
Soy maestra de Infantil y en cada curso escolar creo un blog cuyo contenido está destinado a facilitar a mi alumnado el aprendizaje del inglés. También sirve para mostrar a padres, madres y a la comunidad escolar las actividades de clase por medio de artículos, con inclusión de fotos y vídeos realizados por mí.
No hay nada comercial en el blog, tampoco tengo suscriptores y los únicos datos personales que se manejan (nombre, que puede ser alias, y cuenta de correo) son los que voluntariamente aportan las personas que hacen comentarios y las que solicitan alguna información mediante el formulario de contacto. Una vez que se contestan ya no vuelvo a utilizarlos.
Me encuentro abrumada por las cuestiones legales. Mi pregunta es: ¿estoy obligada a cumplir con el RGPD 2018? Y si es así, ¿qué tengo que hacer?
Muchas gracias por tu blog y un saludo.
Hola Ana:
Pues lo que dice el RGPD al respecto (en el Considerando 18 y en el artículo 2) es que dicha norma «no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial».
Si nos atenemos al tenor literal de la norma, entiendo que tu blog sí se encuentra vinculado a una actividad profesional, aunque no obtengas ningún rendimiento económico del mismo.
Por ello, entiendo que sí deberías cumplir el RGPD y por tanto tendrás la obligación de cumplir con todas las obligaciones que el mismo establece: Realizar un análisis de riesgos del tratamiento, disponer de un Registro de Actividades de Tratamiento, disponer de contratos con Encargados de Tratamiento y contratos de confidencialidad con colaboradores en el blog, informar debidamente a los uausrios sobre el tratamiento mediante una política de privacidad, recabar el consentimiento al tratamiento cuando resulte necesario, etc. Especial atención merece el tratamiento de menores de edad por debajo de 16 años (14 años en la LOPD y 13 años en el Proyecto de LOPD en trámite parlamentario).
Quizá, la solución pasa por eliminar los formularios por los que recabas los datos personales y que el blog únicamente sirva para que quien quiera acceda al mismo y tenga acceso a los materiales que cuelgas en el mismo.
Un saludo
Gracias por tu rápida respuesta. Me decantaré por la solución de eliminar el formulario de contacto puesto cualquier otra opción es demasiado complicada para la poca importacia de mi blog.
Saludos.
Con la nueva normativa e implantación de LOPD del pasado mayo todos estamos obligados a cumplirla y establecer los cambios necesarios para que así sea ya seamos una empresa, tengamos un pequeño negocio o incluso dispongamos de una página o blog de internet. Es importante acatar la nueva normativa para evitar un mal mayor y graves consecuencias en un futuro.
En mi caso particular me ha tocado adaptar mi trabajo y mi web a la nueva normativa ya que,aunque supone un poco de lío al principio, puedes tenerlo todo listo en nada y te ahorras un posible disgusto.
Me ha encantado este post, resulta muy útil, explicativo y súper completo. Muchas gracias por compartirlo. Un saludo!
Muchas gracias, Lara. No obstante, este post se encuentra obsoleto, por cuanto no se habla en el mismo del RGPD.
Un saludo
Está muy bien este post ya que ofrece información útil. Por otro lado es muy interesante que dediquéis esfuerzo a crear y compartir contenido como este. Solamente deciros que me parece muy buen trabajo!!
Muchas gracias. Un saludo
Hola Nando,
Una consulta, ¿ahora es obligatorio el inscribir los ficheros en la Agencia Española de Protección de Datos? Creo que tienes que cumplir con la normativa pero ya no hace falta la inscripción de ficheros. ¿Estoy equivocada?
Saludos.
Hola María:
La inscripción de los ficheros desde hace unos meses ya no es un requisito exigido por la AEPD. Ni el RGPD, ni la nueva Ley Orgánica de Protección de Datos y de garantías de los derechos digitales, alude en ningún artículo a esa obligación.
Como dices los responsables y encargados de tratamiento tienen otras obligaciones, pero no la de inscribir los ficheros ante la AEPD.
Un saludo
Hola
voy a crear una Web de información que incluirá un foro para vecinos de un barrio que tenemos un problema general con los propietarios de los pisos. Para darse de alta solo se pedirá que creen un usuario y una contraseña para poder dar de baja a los que no cumplan unas reglas básicas de urbanidad en el foro. No se va a pedir ningún dato personal más. Solo se va a poner una dirección de correo electrónico a la que se podrán enviar correos con documentación de todo tipo. Ese correo pertenece a un representante político de la zona que se ha ofrecido a ayudarnos, pero la dirección de correo electrónico será externa a la Web y solo tendrá constancia de los correos recibidos el representante político en particular.
Mi pregunta es si tenemos que aplicar la LOPD en este caso.
Gracias de antemano por su respuesta.
Un saludo
Hola Luís:
En mi opnión, sí debería cumplirse con lo establecido en la normativa en materia de protección de datos (RGPD y LOPDGDD), toda vez que el tratamiento que expones excede de una actividad exclusivamente personal o doméstica.
Un saludo
Sin duda debe cumplirse ya que se tratan datos personales de usuarios por lo que ha de cumplirse con lo establecido en la RGPD y LOPDGDD en todo lo referente a la protección de datos.
Gracias, Santiago por tu aportación. Completamente de acuerdo, siempre y cuando el blog no tenga una finalidad puramente doméstica sin que esté vinculado a ninguna actividad profesional y/o empresarial.
Un saludo
Muy buen post, gracias por compartirlo
saludos
Nicolás
Hola,
Somos un equipo de dos personas que hemos desarrollado un software de gestión (somos informáticos) en el ámbito de la sanidad, la cuestión es que queremos comenzar cuanto antes ya que tenemos 4 clientes que quieren usarlo.
Por lo tanto, el proceso será el siguiente:
– La clínica usara nuestro sofware e introducirán sus datos en nuestro sistema.
Actualmente no somos empresa ni tampoco somos autónomos.
La cuestión es que tenemos alguna duda:
1- ¿Es necesario ser autónomo o empresa para poder esta al día con la LOPD de forma legal ?
2- ¿Es posible sin ser autónomo o empresa hacer rellenar a la clínica el documento de contrato de encargo de tratamiento?.
Somos conscientes que tratamos con datos de nivel alto por lo tanto estamos mirando todas las posibilidades para intentar hacer las cosas lo mejor posibles.
La problemática es que estamos en un pinto de “comienzo” donde los ingresos no son de momento rentables para ser autónomos.
Saludos y muchas gracias.
Hola Iván:
En mi opinión, si desarrolláis una actividad empresarial por la que obtenéis ingresos tendréis que articulara la oportuna fórmula para estar dados de alta en Hacienda y en la Seguridad Social.
Independientemente del cumplimiento de las obligaciones fiscales y de seguridad social, entiendo que seríais encargados de tratamiento de los datos de empresas relacionadas con el sector salud, por lo que tendríais que cumplir con la normativa en materia de protección de datos, identificando los tratamientos que realizáis, quién o quiénes ostentan la condición de responsable de tratamiento, etc.
Un saludo
Muy buenas tardes, soy Onofre, lo primero muchas gracias por todo este apoyo.
Me gustaría saber si te haces autónomo y tienes o vas a tener mas de una página web que no vendes a través de la web pero si vendes productos, valen los mismos datos de empresa para adecuar la LOPD para las dos web.
Muchísimas gracias.
Hola Onofre:
Si no te he entendido mal, no le veo ningún problema a que una misma persona física o jurídica tenga dos o más webs. En principio deberían valer los mismos datos, pero dependiendo del tratamiento que hagas de los datos que recabes en una y otra web, la información que debes proporcionar podría variar.
Un saludo
Hola, si a eso me refería, muchísimas gracias!
¿ Y qué ocurre, por ejemplo, con la lista de usuarios de los que tienes datos personales porque se inscribieron en la newsletter? Ahora, para que se suscriban, tienes que especificar la recogida de datos y recoger el consentimiento expreso. ¿Debes informar a los primeros de esto para darles la oportunidad de dar también el consentimiento expreso y no tácito?
Hola Matías:
Si tienes una base de datos que has recabado sin haber informado y sin una base legítima de tratamiento, no puedes hacer uso de la misma. Tendrías que eliminarla.
Un saludo
Hola buenas una consulta, alguna forma de denunciar cuando te suscriben a listas de spam sin tu consentimiento? Hoy me llego otra de supuestamente venta desde china (email en inglés) sin que yo lo solicite, y cuando miro abajo dice que recibo porque me suscribi a una lista… mentira cochina….
alguna forma de denunciar esto? Porque la verdad, ya cansa.
Gracias
Hola Daiana:
Puedes acudir a la Agencia Española de Protección de Datos, acreditando que ya has solicitado a la empresa en cuestión que no te remita más correos comerciales. Lo que está claro es que si se trata de una empresa de China, es muy posible que la AEPD no pueda hacer nada.
Un saludo
Hola, ¿Y qué pasa con un tío con un blog personal en wordpress que tiene muy pocas entradas; le puse un post de consulta elemental, y el tío responde dando largas; no viene al caso el tema, pero él quería que a toda costa hiciera la consulta en ese blog en su muro, y yo le pedía una forma de contacto privada.
Así fue un toma y daca de 3-4 posts, insulsos, pero qué sucede, que el tío no respetó los nombres que yo daba, y va y pone en el campo «nombre» de mi entrada parte de la dirección de correo (que se supone que debía de respetar como privado), a sabiendas (no hace falta ser muy listo) de que esa parte corresponde a un apellido inequívoco mío. Además de otra tontería sobre lugar de residencia, que supondría el tío por ser un paranoico o algo así, porque no era dato que se pida ni facilite; en resumen, publica deshonestamente datos identificativos míos, sin consentimiento alguno, Y ENCIMA NO TIENE FORMA DE CONTACTO ALGUNO EN DICHO BLOG. Ni por correo, ni twitter, … nada.
¿Qué puedo hacer para que retire mis posts? Si no se le puede contactar.
¿Denuncia a la Agencia de Protección de Datos? ¿Denuncia en comisaría?
Gracias
Hola Luís Ángel:
Pues habría que investigar un poco para saber si en el Whois del dominio aparece un mail de contacto al que poder dirigirte para solicitar la supresión de tus datos personales. Iniciando un procedimiento administrativo ante la AEPD o un órgano judicial, podría solicitarse al proveedor de hosting o al registrador de dominios que facilitase una forma de contacto con el titular del dominio.
En definitiva, habría que analizar en profundidad el asunto y ver qué opciones existen.
En cualquier caso, dirígete a la AEPD y consulta con ellos qué se podría hacer.
Un saludo.
Gracias Nando, muchas gracias.
He mirado con whois como dices, pero nada, toda la info que arroja la refiere al dominio general wordpress.com.
Así que contactaré con la AEPD a ver qué dicen. Seguiré el protocolo que me indiquen y a correr; que se encarguen ellos; si tienen las herramientas, que las usen (y si no, que no presuman o amenacen con tenerlas), que se vea, que se vea…
(Lo que está claro es que ese tío está vulnerando la ley, y con muy mala pipa…, y lo sabe.)
Buenas tardes Nando,
En primer lugar felicidades por el artículo, está muy bien explicado, sobre todo para quienes tenemos un blog y aun sin vender nada, pensábamos que no teníamos obligación de poner nuestros datos personales.
Me gustaría hacerte una consulta relacionada con el tema, y precisamente para todo lo contrario. Si tengo un blog de información, donde solo publico artículos, pero no se pueden dejar comentarios y no hay formulario de newsletter para recopilar datos. ¿Debo poner mis datos igualmente o puedo poner una aclaración donde se indique que como no recopilo nada, no tengo obligación de identificarme?
Obviamente si creo una sección de contacto, donde se incluya un mensaje y email…. recopilo datos. Por lo que creo que si o si sería necesario cumplir esta ley. Pero…. Y si no hay ingún formulario de contacto, sino simplemente una dirección de email para que escriba quien lo desee ¿También habría que ceñirse a esta ley?
Otra gran duda es Google Analytics, quien mediante una cookie recopila datos de los visitantes, pero, como eso ya se avisa en la ley de cookies….. ¿es necesario poner los datos privados también?
Verás que lo que busco es la forma legal de no tener que poner datos.
Saludos!
Hola Josean:
Lo que obliga a que hagas constar tus datos como prestador de servicios de la información es que monetices de alguna manera el blog o que a través del mismo promociones algún tipo de producto o servicio.
Deberás ceñirte al RGPD y LOPDGDD si tratas datos personales, aunque no tengas formularios y buscar la manera de informar a esos interesados del tratamiento de datos que realizas.
Si tu web instala cookies, tendrás que hacer constar en la política de cookies, entre otras cosas, los datos del responsable de tratamiento conforme a lo previsto en el artículo 13 del RGPD.
Un saludo
Hola Nando, muchas gracias por toda la información y seguir manteniendo vivo tus posts con respuestas. En este caso que presenta Josean, estoy yo ahora. He creado un blog estático , en el que pongo mis viajes, aventuras y consejos de ser un nómada digital. No vendo nada, ni voy a recopilar información en formularios , necesito cumplir con el aviso legal y poner mi nombre y DNI? En caso de que dejem mi correo por si alguien quiere contactar , ahí entiendo que si debería o tampoco? . Uso gooogle analytics para saber si alguien entra, entiendo es suficiente aquí con el aviso y política d ecookies o necesito almo más… Muchas gracias
Hola Jan:
Si no monetizas tu web de ninguna manera (ni de forma directa, ni indirecta) no es necesario que te identifiques ni que adviertas la utilización de cookies, pues no tienes la consideración de prestador de servicios de la sociedad de la información.
Si recabas datos personales que exceden de la esfera doméstica, sí debes cumplir con la normativa de protección de datos, en concreto el RGPD y la nueva LOPDGDD.
Un saludo
Hola!
Una duda, si en un blog aparece una lista de personas con nombres y dos apellidos, sin el consentimiento de esas personas. ¿Es legal?
Muchas gracias
Saludos!
Hola Aurora:
En principio, no sería legal, pues estaría vulnerando el derecho a la protección de datos de las personas que aparecen en ese listado, salvo que exista otra base jurídica de tratamiento que legitimara esa publicación.
Un saludo
Hola, Nando. Mi duda es referente a Facebook. Administro una página de una organización religiosa.
¿Debo hacer alguna adaptación para informar a los seguidores de la página y aquellos que envían mensajes en privado, o es suficiente con la advertencia que el propio Facebook publica y las condiciones que ya ha hecho firmar a los usuarios cuando abrieron su cuenta?
Gracias de antemano.
Hola Efra:
Mientras el tratamiento de los datos de los seguidores de la página se realice exclusivamente en el ámbito de la página de Facebook, entiendo que no deberías hacer nada más al respecto.
Un saludo
Hola Nando,
una pregunta: ¿Puedo en un blog listar datos de empresas sin pedirles autorización? , p.e. una lista de farmacias con nombre, dirección y teléfono.
Gracias
Hola Jesús:
No le vería mayor problema si estuviéramos hablando de datos de empresas, pero en muchos casos las Farmacias están a nombre de personas físicas y para hacer eso necesitas de su autorización.
Un saludo
Hola Nando,
No se si estoy repitiendo el comentario pero es que no lo veo en la lista de comentarios.
Mi pregunta es:
Una lista de farmacia con nombre del titular, dirección postal y teléfono ¿puede ser difundida en un blog o sitio web?
Gracias
Perdona Jesús, respondo cuando puedo 😉
Ya he contestado tu comentario anterior
Un saludo
Hola Nando,
Felicidades por tu blog, una pregunta:
Soy nuevo creando mi blog y no sabía casi nada del tema de blogs, recientemente incorporé Google Analytics(no entendía lo de los cookies), y crei que había quitado los comentarios pero no,(veo que en mi página es la única forma de contacto, similar a lo que hago aquí escribiendo). Mi página es de noticias y quiero que crezca, actualmente no monetiza de ningún modo. A menos de un mes de crearla hoy recibí un comentario en Inglés que tiene poco sentido a la noticia comentada, parece spam (no he aprobado el comentario, incluso puso un sitio web). Acabo de desactivar los comentarios y quitar Analytics, por lo que mis preguntas son:
1.Como ahora no monetiza no tengo que preocuparme de algún problema por este comentario o el haber usado analytics?De lo contrario que debo hacer?
2.Al no ofrecer avisos o políticas en mi página, habiendo quitado Analytics y los comentarios no habrá ningún problema en seguir un tiempo asi?
3. Si dejo que mi página crezca y en un futuro cercano ya incorporo los avisos y políticas y comentarios antes de monetizarla. No habrá ningún problema en seguir este orden?
4. Que hago con este comentario? Es el único que tengo solo debería mandarlo a la papelera y ya?
Hola Alberto:
Para que tu blog tenga la consideración de servicio de la sociedad de la información, debe constituir una actividad económica, ya sea de forma directa o indirecta (por ejemplo, una web que sirve para promocionar un porducto o servicio tend´ria esa consideración de actividad económica indirecta).
Si no tiene la consideración de servicio de la sociedad de la información, no le afecta la LSSI-CE, por lo que no tienes por qué proporcionar la información del artículo 10 de la citada norma, ni tampoco advertir del uso de cookies conforme a lo previsto en el artículo 22.2 de dicha norma.
Sin embargo, si recabas datos personales para los comentarios, por ejemplo, sídeberás cumplir con la normativa en materia de protección de datos, pues excede de una finalidad privada o doméstica.
En cuanto a ese comentario, bórralo y borra los datos relativos al mismo.Aunque tiene toda la pinta de un intentar colocar un enlace en tu web.
Un saludo
Hola Nando.
Primero que todo, felicidades por este blog, ¡es super útil!
¿Podrías ayudarme con la siguiente duda?, te cuento… Crees que debería de conservar los datos personales de mis posibles clientes, cuando ocurren primeros contactos a través de correo electrónico, como email, nombre, datos relevantes en el cuerpo de correo.
Es decir, si recibo un correo ya sea de consulta por servicios que ofrezco, ya sea por peticiones diferentes a esos servicios y que estén en el ámbito de la empresa, ¿podría almacenar esa información de los clientes?, o ¿debería tener un consentimiento explícito de esa persona que envía el correo? ¿Qué opinas?
Muchas gracias.
Hola Ester:
De lo que se trata es de definir claramente las finalidades para las que vas a utilizar los datos que recabes a través de los formularios web, infomar debidamente al usuario y recabar su consentimiento cuando este sea necesario.
por ejemplo, para responder a una consulta que te hace alguien, no se requiere consentimiento, pero sí para enviar comunicaciones comerciales por vía electrónica a aquellos que no son clientes. Y si son clientes, haberles ofrecido en el momento de recabar sus datos, la posibilidad de oponerse al envío de comunicaciones comerciales.
Un saludo.
Hola Nando.
Entendido, no se requiere consentimiento para responder a una consulta.
Entonces, quieres decir, que estaría permitido que conserve sus datos, por supuesto para responder a la consulta, ¿pero y para en una futura relación comercial? Por ejemplo, por un servicio igual o similar por el que me consultó (esto sin que él hubiera llegado a ser cliente) y que considere que le pueda interesar en un futuro.
¡¡Muchas gracias!!
Saludos.
No, Ester, para esa finalidad debes obtener el consentimiento informado, libre, inequívoco y específico del usuario. De hecho, una vez respondida la consulta, deberías eliminar el contacto.
Un saludo
Ostras Nando.
¿Y como aconsejas hacer eso? Técnicamente, no se me ocurre. Busco alguna forma práctica como el tick de aceptación de las políticas.
¿Podrias darme tu opinión a cerca de las dos siguientes?:
– Cuando reciba un correo, enviar otro pidiendo que la consulta X la haga a través del formulario. Aludiendo a que en un primer contacto debo de recopilar la aceptación por su parte.
– Cuando reciba un correo, enviar un enlace con una finalidad similar al de la casilla de verificación del formulario, pidiendo que lo acepte y entonces establecer comunicación.
Gracias.
Saludos Nando.
Hola Ester:
Como se suele hacer es poniendo una casilla que genere un log que diga «deseo recibir comunicaciones comerciales» en el formulario de contacto. Si no la marca, no podremos enviarle comunicaciones comerciales.
También puedes responderle a su consulta por mail y preguntarle si le interesaría recibir comunicaciones sobre promociones, novedades, etc. Si no te constesta, no podrás enviarle comunicaciones comerciales.
En cualquier caso deberás informarle en el sentido señalado en el artículo 13 del RGPD.
Un saludo
Hoy en día es fundamental cumplir con estas leyes. Nadie se salva y están muy al loro para asegurar que se cumple la normativa vigente
¡Hola Nando Muchas gracias por compartir tus conocimientos con nosotros. Sin lugar a dudas somos muchos los que acudimos en busca de información a tu blog.
Hola Nando,
primero de todo felicitarte por tu comentario. Mi duda va un poco más allá del cumplimento del RGPG. Espero que me puedas ayudar. Resulta que estoy pensando en crear una web en la que ayude a los usuarios a redactar cartas de renuncia laborales.
Mi duda radica en si necesito escribir un texto en el cual me exima de cualquier responsabilidad derivada de los ejemplos propuestos. Crees que más vale ser precavido y hacer una referencia como por ejemplo en el pie de página o en el aviso legal?
Muchas gracias por tu atención.
Un saludo.
Hola Raúl:
Mi recomendación es que lo incluyas en los términos de contratación del servicio que prestas, que los usuarios tendrán que aceptar cuando contratan el servicio.
Un saludo
Hola Nando
A ver, porque me estoy volviendo loco con este tema. Yo quiero crear una simple web de literatura donde publico mis escritos. Vaya, un blog de toda la vida. No hay beneficios económicos de ello. Pongamos dos supuestos:
-Que hubiera formulario de contacto típico donde los usuarios mandan comentarios a los poemas o escritos. Sí, tienen que meter el email y esas cosas. ¿Tengo que poner esos rollos de política de privacidad y/ cookies? Porque no soy abogado, no gano dinero con esto y no me merece la pena pagar a uno para ello.
-Que quito los formularios de comentarios para ahorrarme problema (manda narices), y dejo simplemente un email de contacto por si los que me leen quieren decirme algo. Supongo que claro, ellos me escribirán desde su mail… ¿Estoy obligado aún en este caso a publicar las cosas esas?
Lo de las cookies es un simple plugin pero ya para crear una política de privacidad en condiciones, si no me equivoco, tengo que andar poniendo mis datos reales como responsable del fichero de marras que no tengo ganas ni de hacer ni de registrar, ¿no?
Lo cierto es que no estoy por la labor de todas esas cosas así que me gustaría que me aclararses por favor si en alguno de esos dos supuestos libro de tener que poner esas cosas, o cómo hacerlo para no tener que ponerlas (supongo que si no pongo ni opción de comentarios ni contacto no tendría que hacerlo, pero tampoco es plan).
Un saludo Nando y gracias
Hola FJ:
En principio hay que distinguir dos ámbitos normativos:
1. La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico. Que aplica a los prestadores de servicios de la sociedad de la información (PSSI). Tendrán tal consideración aquellos que supongan ingresos a su titular de forma directa e indirecta. Por ejemplo, una web corporativa de una empresa o un profesional que promociona sus servicios, sería un PSSI, aunque no venda nada a través de la web.Un blog que no monetizxas de ninguna manera, ni sirve para promocionar tus productos o servicios profesionales, no sería un PSSI. Por tanto, no le aplicaría la LSSI-CE. Lo que implica que no tendrías que publicar tu información personal ni tendrías que cumplir con el artículo 22.2, que es el que regula el tema de las cookies.
2. El RGPD y la LOPDGDD, que regula el tema del tratamiento de datos. Establecen esos textos legales que se excluye de su aplicación el tratamiento denominado «doméstico» y lo expone así: no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.
Así pues, en principio, podrías estar exonerado del cumplimiento de ambos ámbitos normativos. Pero ojo, hay que ir analizando si en algún momento, deberías replantearte el escenario, en el caso, por ejemplo de que tu blog tuviera mucho éxito y se convirtiera en una actividad económica o por la cual trataras un volumen elevado de datos personales.
Espero haber aclarado tus dudas.
Un saludo
Hola Nando, muchas gracias por toda la información que nos brindas. Yo tengo un blog que no monetizo. No hay ninguna actividad económica ni profesional. Sin embargo, la gente puede dejar comentarios y suscribirse (de ese modo, como administrador, puedo ver sus emails e IPs). De todos modos son muy pocos, al menos por el momento.
(Yo mismo no almaceno ni trato esos datos que yo sepa, eso funciona a través de la plataforma, y no soy siquiera propietario del dominio.)
Se trata de un blog de wordpress, y he notado que al acceder a la página aparece de forma automática un pequeño banner en la parte inferior, que dice lo siguiente:
“Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí: Política de Cookies”. (Y ahí va un enlace a la página de “Automattic”, que creo que es la empresa que maneja el tema de las políticas de cookies y privacidad para wordpress, con información detallada; que si bien está en inglés también puede encontrarse traducción al español).
Me gustaría saber si con eso es suficiente, o debo hacer algo más respecto al tema de aviso de cookies y política de privacidad (ese banner viene ya incluído por defecto).
Como digo, no monetizo el blog de ninguna manera (aunque no descarto hacerlo más adelante, caso en el cual pondría un aviso legal y demás). Un saludo.
Hola Felix:
Si no monetizas el blog de ninguna forma directa o indirecta no es necesario advertir del uso de cookies, porque no tiene la consideración de servicio de la sociedad de la información conforme a lo previsto en la LSSI-CE.
No obstante, si tratas datos personales (mai o IP, lo son) de usuarios con una finalidad que excede la esfera privada, si deberías disponer de una política de privacidad, informando de todo lo que exige el artículo 13 RGPD.
Un saludo
Hola Nando, gracias por la respuesta.
Sin embargo no me termina de quedar muy claro lo que mencionas hacia el segundo párrafo, con eso de “una finalidad que excede la esfera privada” (cuál es el criterio para determinar eso?).
Como decía, los IPs y los emails que puedo ver como administrador del blog wordpress yo no los utilizo para nada, simplemente aparecen cuando alguien deja los comentarios (la gente puede también suscribirse y entonces imagino que reciben un email cuando actualizo el blog, pero eso es todo). Yo no trato para nada esos datos. Así pues entiendo que como no uso formularios ni nada por el estilo, es innecesario lo de la política de privacidad, estoy en lo cierto?
Y puedes comentar algo acerca de esos banners de wordpress que mencionaba, que ya aparecen por defecto avisando sobre cookies y privacidad?
Un saludo.
Hola Félix:
El RGPD establece: «El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.»
En cuanto a lo del banner de WordPress, si estamos hablando de un blog en WordPress.com, al final es WordPress la obligada a advertir del uso de cookies. Si tú no monetizas el blog de ninguna manera, no estarías obligado a cumplir con el artículo 22.2 de la LSSI-CE, que es la que establece la obligación de advertir y obtener el consentimiento para el uso de cookies, pues esa obligación es para prestadores de servicios de la sociedad de la información y no tendrías esta consideración si no obtienes ingresos de forma directa o indirecta por razón del blog. Por ejemplo un blog corporativo o que sirve para promocionar servicios sí estaría obligado a disponer de una correcta política de cookies.
Un saludo
Hola Nando!
En primer lugar, enhorabuena por tu web. Es realmente útil!!
Quería consultarte un par de dudas que no consigo despejar, a ver si me puedes ayudar.
Voy a empezar un blog personal sobre viajes. Por el momento será como un diario de viajes con recomendaciones pero no lo voy a monetizar ni voy a ganar dinero con él de ninguna forma. Para evitar escribir una política de privacidad voy a desactivar la opción de que los lectores puedan enviar comentarios, no pondré formulario de contacto ni la opción de suscribirse. Sin embargo, si que quiero usar Google Analytics y poner botones que enlacen con mis redes sociales para que me puedan contactar por Facebook, Instagram, etc. ¿Alguna de estas dos cosas (Analytics o RRSS) me obliga a tener una política de privacidad?
Muchísimas gracias por la ayuda.
Saludos!
Hola Rosa:
En el momento que trates datos personales de forma que exceda lo que se llama la esfera doméstica, es decir para un uso exclusivamente privado sin vinculación con una actividad económica, sí tendrás que disponer de la información correspondiente al tratamiento de datos, como puede ser una política de privacidad.
Un saludo
Hola Nando. Muchas gracias por la respuesta. Entonces, entiendo que mi blog al no estar monetizado ni ligado a ninguna empresa, estaría dentro de la esfera doméstica que me comentas, verdad?
Gracias de nuevo. Saludos.
Muchas gracias a ti, Rosa.
Exacto, pero si promocionas algún tipo de servicio o producto o llegaras a tener un número muy importante de suscriptores o de contactos esa esfera doméstica no sería de aplicación.
Un saludo
Buenas tardes Nando,
Estoy desarrollando una página web de recetas, en la que los usuarios podrán suscribirse a la newsletter o contactar conmigo. Para hacerlo deben rellenar un formulario indicando nombre y correo electrónico. Viendo los cambios efectuados en la AEPD desde Mayo de 2018 (NOTA), ¿debo hacer un registro de los datos de los usuarios? Si es así, ¿de qué manera debo hacerlo? En los textos legales del sitio web se hace mención de quién es el responsable de los datos recabados y la finalidad informativa de los mismos (así como de las cookies).
hola Antonio:
Desde hace ya algún tiempo ya no hay que comunicar los ficheros a la Agencia española de Protección de Datos. Eso no quiere decir que no tengas que disponer de documentación interna acreditativa del cumplimiento del RGPD, como el Registro de Actividades de Tratamiento.
Un saludo
Excelente información, gran aporte al blog.
Muchas gracias. Un saludo
Hola Nando,
Felicidades por el blog. Quería preguntar cómo afecta a los usuarios de Instragram o YouTube el cumplimiento del RGPD. Dado que habrá una lista de suscriptores al perfil o canal y aunque el titular no maneja realmente los datos hay acceso a esta lista.
Saludos.
Hola Sergio:
En el caso que comentas Google y Facebook son las responsables del tratamiento de los datos de los usuarios.
El titular del perfil social o del canal será responsable de los datos personales que recabe de los suscriptores a través de las vías de comunicación que esas plataformas ponen a disposición del usuario, como por ejemplo, los mensajes privados de Instagram.
Un saludo
Hola,
Gracias por la respuesta. Solo aclarar si de ese modo como propietario del canal o perfil de la red social debería tener una política de privacidad propia y tener el Registro de actividades de tratamiento que exige el RGPD.
Hola Sergio:
Sí, sería conveniente que enlazaras en alguna parte de tu canal o perfil social tu política de privacidad e incluyas en tu RAT ese tratamiento.
Un saludo
Hola,
Ok. Entendido.
Respecto de los banners para aceptar cookies creo que los que no disponemos de una web propia y solo usamos RRSS, es responsabilidad de las plataformas avisar de las cookies y dotarse de los mecanismos para que los usuarios acepten o no las mismas y puedan elegir cuáles intalan o no, dado que no podemos editar nada en las plataformas.
Saludos.
Hola Sergio:
Efectivamente en el caso que expones, el tema de las cookies sería responsabilidad de los usuarios de esas plataformas.
Un saludo
Excelente artículo, gracias.
Muchas gracias Nando, por la infomación facilitada.
Somos una ONG cultural que posee una web con Word Press.com Uso el plan gratuito.
En la web hay formularios para comentarios y estaba pensando en incluir otro para recibir los datos de los nuevos socios.
No obtenemos ingresos de esa web.
Qué obligaciones tengo respecto a los datos? Gracias.
Hola Andrés:
En la medida en que el uso de los datos de las personas que dejan sus datos a través de la web excede el ámbito doméstico, deberás cumplir con las obligaciones del RGPD. Es decir, deberás contar con una política de privacidad, información clara sobre el responsable, las finalidades y los derechos del interesado en los formularios y recabar el consentimiento para el envío de comunicaciones comerciales, además del resto de obligaciones que recoge la normativa, como disponer de un Registro de Actividades de Tratamiento, etc.
Un saludo
Buenas tardes Nando y felicitarte por tu esfuerzo en responder el post después de tanto tiempo. Me surge una duda y a la vez conflicto, ¿los autónomos estamos obligados a poner el domicilio social o fiscal en el aviso legal de la web?. El problema surge cuando trabajamos desde el mismo domicilio, ¿com puedo optar a esa privacidad?.
Gracias de antemano.
Hola Shonia:
LO que exige la LSSI-CE (art. 10) es que se haga constar un domicilio en que el prestador de servicios de la sociedad de la información pueda ser contactado de forma directa y efectiva.
Por tanto, es obligatorio poner un domicilio, que puede ser el tuyo o un coworking, por ejemplo. Lo importante es que tengas acceso a las comunicaciones que puedan llegar a esa dirección.
Un saludo
Hola,
Estoy bloqueada con el aviso legal y la política de privacidad de mi web.
De momento no recojo ningún dato. No tengo página de contacto, no recojo correos electrónicos ni tampoco tengo apartado de comentarios. De momento solo es un sitio web de lectura.
1. Me gustaría saber como tengo que crear el aviso legal y la política de privacidad en este caso.
2. Me gustaría saber que tengo que hacer en caso de que quiera tener el apartado contacto, comentarios o si llega el día que quiero recoger correos, y si vosotros ofrecéis el servicio personalizado de tener el aviso legal y protección de datos en orden.
Por lo que he podido ver, el hosting con el que trabajo, Hostinger, tiene servidores en muchos países, por lo que imagino que tendría que pedir autorización del Director de la Agencia Española de Protección de Datos.
La semana pasada os envíe dos correos desde el formulario de contacto del apartado de servicios, pero no he recibido respuesta. No sé si es que no funciona bien o es que no lo habéis podido leer.
Muchas gracias,
J
Hola J:
Te respondí a tu mail el pasado 18 de julio. Revisa por favor tu bandeja de entrada o la bandeja de SPAM.
Si no lo has recibido, házmelo saber por favor.
Un saludo