Cualquier página web que contemple servicios relacionados con una actividad económica deberá publicar una serie de avisos legales para cumplir con las normativas que le sean de aplicación. Para ello, deberemos revisar la estructura de la web y determinar las que puedan afectarla:
· Aviso legal: obligatorio para todas las webs que contemplen servicios relacionados con una actividad económica. Se aplica la normativa LSSI.
· Política de privacidad: obligatoria para todas las webs que realizan algún tratamiento de datos personales, esto es, si obtienen datos mediante un formulario (formulario de contacto, boletines de noticias, alta de usuario, etc.), o se muestran datos personales en la web (nombres, teléfonos, correos, imágenes, etc. de personas físicas). Se aplican las normativas GDPR y LOPDGDD.
En caso de formularios para obtener datos personales, se deberá valorar la necesidad de obtener el consentimiento del usuario aplicando un sistema de doble capa en que se ofrezca una información básica en primer plano y otra de completa mediante un enlace que acceda a la política de privacidad.
· Política de cookies: obligatoria para todas las webs que instalan cookies, ya sean cookies imprescindibles (técnicas, funcionales, etc.) o no (analíticas, publicitarias, comportamentales, etc.). Se aplican las normativas LSSI, GDPR y LOPDGDD.
En el caso de querer instalar cookies prescindibles -que no sean de carácter técnico o funcional-, se deberá valorar la necesidad de obtener el consentimiento del usuario aplicando un sistema de doble capa en que se ofrezca una información básica en primer plano (banner) y otra de completa mediante un enlace que acceda a la política de cookies.
Para legitimar la instalación de cookies que no precisen consentimiento, se deberá valorar si se encuentran en el ámbito de aplicación del interés legítimo basado en el artículo 22.2 LSSI.
· Condiciones de contratación: obligatoria para todas las webs que pretendan realizar transacciones comerciales mediante una pasarela de pago o TPV virtual (Redsys, CECA, PayPal, Stripe, etc.). Se aplican las normativas LSSI y LOCM.
Una vez establecidos los avisos legales a implementar en la web, se deben colocar de forma que sean accesibles desde cualquier lugar del sitio web, por ello es recomendable fijar unos accesos directos en el pie de página, donde se suele mostrar la información corporativa y los datos de contacto, por ejemplo:
©MARCA COMERCIAL |
Aviso legal |
Términos y condiciones |
Los avisos legales específicos para obtener el consentimiento del usuario se colocarán de manera que se informe previamente al tratamiento de los datos, o sea, en el caso de formularios antes de ser enviados y en el caso de las cookies antes de ser instaladas.
Cuando se requiera rellenar un formulario con datos personales o instalar cookies, se deberá informar al usuario del tratamiento que se va a realizar, basándonos en alguna de las legitimaciones previstas en el art. 6 GDPR.
Cuando la legitimación se base en el consentimiento del interesado (manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen), se pueden utilizar dos métodos:
Informar en una única capa: mediante una casilla de confirmación que el sistema obligue al usuario a seleccionar (acción proactiva) para proceder al envío de los datos, facilitando toda la información del tratamiento.
Esta casilla o botón de confirmación debe ir acompañado de un texto con toda la información del tratamiento, ya sea a continuación o mediante una ventana desplegable o emergente, siempre que se muestre toda la información al usuario.
No sirve un enlace a otra página. Para obtener el consentimiento se debe acceder a toda la información del tratamiento en el momento de aceptarlo.
Esta opción se utiliza generalmente para fines de difusión de noticias, donde la información del tratamiento es muy simple.
Informar en dos capas: mediante una casilla de confirmación que el sistema obligue al usuario a seleccionar (acción proactiva) para proceder al envío de los datos, facilitando la información básica que exige el art. 11 LOPDGDD y un enlace a la restante información que puede ser la política de privacidad, la política de cookies u otra página exclusiva para esta finalidad.
Esta casilla o botón de confirmación debe ir acompañado de un texto con la identidad del responsable, la finalidad del tratamiento, la posibilidad de ejercer los derechos del interesado y un enlace a la restante información del tratamiento.
Si se prevén varias finalidades que precisen el consentimiento, se deberá poner una casilla de confirmación para cada finalidad, pudiendo el usuario escoger libremente las que más le convengan.
Esta opción es la más generalizada y sirve para diversas finalidades (instalación de cookies, fines comerciales, contratación, alta de usuarios, envío de demos, etc.).
Ejemplo para obtener el consentimiento mediante un formulario de contacto:
Información de protección de datos |
Ejemplo para obtener el consentimiento para la instalación de cookies analíticas y publicitarias:
Información de protección de datos |
Los avisos legales que deben incorporarse en una página web son los siguientes:
Documento
|
Normativa
|
Aplicación
|
Contenido
|
Aviso legal |
LSSI |
Cualquier página web |
|
Política de privacidad |
GDPR |
Tratamiento de datos personales |
|
Documento
|
Normativa
|
Aplicación
|
Contenido
|
Formulario |
GDPR |
Consentimiento para tratar datos |
Sin capas
|
Con capas
1ª capa:
|
|||
Política de cookies |
LSSI |
Instalación de cualquier tipo de cookies |
|
Banner informativo de cookies
|
LSSI
GDPR LOPDGDD |
Consentimiento para instalar cookies
|
Con capas
|
Documento
|
Normativa
|
Aplicación
|
Contenido
|
Condiciones de contratación |
LSSI |
Tienda virtual (e-commerce) |
|
LSSI
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
https://www.boe.es/eli/es/l/2002/07/11/34/con
GDPR
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
https://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04
LOPDGDD
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
https://www.boe.es/eli/es/lo/2018/12/05/3/con
LOCM
Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista.
https://www.boe.es/buscar/act.php?id=BOE-A-1996-1072