Normalmente, los dueños de sitios web crean un negocio en internet con la intención de mercantilizar sus acciones, ignorando que detrás de todo esto hay ciertas reglas o leyes que se deben cumplir. A día de hoy podemos afirmar que cientos de negocios en Internet dejan a un lado la parte legal de su emprendimiento, hasta que la ley toca su puerta. Hablamos de la LOPD o ley de protección de datos.
Esta ley regula la forma en cómo los comercios online le dan tratamiento a los datos de sus clientes, así como también tiene la potestad de sancionar a los autónomos.
A continuación detallamos toda la información que deberías conocer para poner tu negocio al derecho y cómo ajustarte a los nuevos cambios que ha impuesto la Unión Europea sobre la ley sobre protección de datos.
¿Cuál es el objetivo de la Ley de Protección de Datos y a quién afecta?
El artículo 1 de la mencionada ley explica:
“La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.”
En resumidas cuentas, la intención de esta ley es asegurar que las empresas, negocios, autónomos, entre otros, hagan un buen tratamiento de los datos de las personas a fin de garantizar sus derechos fundamentales y evitar que los datos sean utilizados de forma indebida hasta causar daños y perjuicios.
Seguro después de esto te preguntas ¿Y cómo me afecta a mí o a mi negocio?
Como propietario de comercio electrónico o cualquier otro tipo de negocio en Internet que trabaja en aras de conseguir más clientes potenciales, se trabaja bajo distintos métodos con la intención de captar mayor cantidad de prospectos.
Por ejemplo, mediante la automatización del marketing se crean formularios para que el usuarios pase por un proceso de conversión, bien sea que pase a ser un suscriptor, se dé de alta en un webinar, o desee descargar la última guía sobre email marketing, etc.
Para que cada etapa de conversión se cumpla, es necesario pedir algunos datos personales, como el correo electrónico, a fin de conquistarlo más adelante con newsletters o cualquier otro método que el negocio considere efectivo.
Ahora bien, si eres propietario de una tienda online, es casi seguro que debes manipular los datos de las tarjetas de crédito del cliente, el DNI, dirección, número de teléfono, etc.
Lo que quiere decir es que debes preocuparte por la forma en cómo tratas estos datos, así como darte de alta en la Agencia Española de Protección de Datos. De no hacerlo, ya estás incumpliendo con la ley y podrías estar a punto de ganarte algunas sanciones.
Por ahora, es importante que sepas que hay un ente que se encarga de regular esto y que, como dueño de negocio, debes preocuparte por estar dentro del margen de la ley.
¡Pero cuidado! con malas interpretaciones, porque esta ley solo protege a los ciudadanos de la Unión Europea y no aplica para quienes estén en latinoamérica.
De modo que si tienes un negocio en LATAM, pero tienes parte de tu audiencia en Europa, te puede caer la ley. Si no, puedes estarte tranquilo.
Diferencia entre LOPD y LSS
LOPD
La Ley de Protección de Datos, a groso modo, vigila que cualquier negocio, autónomo o no, declare la forma en cómo están tratando los datos de las personas físicas así como también es vigilante de que se declare en dónde han sido almacenados dichos datos.
En general, cualquier negocio, sea offline o digital, tiene el deber de dar esta información a través de la Agencia Española de Protección de Datos.
Cuando se trata de un negocio online y almacenan los datos en el servidor de un tercero, debes asegurarte que dicho hosting cumple con la estipulación puesta por la Agencia Española de Protección de Datos, porque el mal tratamiento de dichos datos por el servidor que has contratado, te puede hacer ganar algunas sanciones. De ello hablaremos más adelante.
LSSI
La Ley de Servicios de la Sociedad de la Información es una ley que regula expresamente la administración de los datos de los comercios electrónicos y a otros servicios en relacionados con el ámbito digital, siempre y cuando se hayan desarrollado como actividad económica.
Básicamente, esta ley vigila que los negocios en Internet mantengan al usuario informado con respecto a los datos del prestador de servicio.
Es decir, no solo toma en cuenta la protección de datos de las personas, sino que también protege a los consumidores con la finalidad de que maneje toda la información del prestador del servicio; nombre del comercio, dirección, número telefónico, precio del producto.
Y en caso de que el prestador de servicio haga email marketing, este debe dejar claro la identidad de la empresa, además de explicar cuál es el procedimiento para darse de baja en las newsletter en caso de no querer recibir más información.
El hecho de realizar cualquier contratación vía electrónica, le da derecho al usuario a conocer todo lo referente a la transacción que se dará, por tanto, es deber del negocio online, facilitar cualquier tipo de información que dé claridad al proceso de compra.
La Ley de Servicios de la Sociedad de la Información, podría ponerle el ojo a las famosas cookies, por ejemplo. Hay algunos sitios que al navegar en sus páginas no le informan al usuario el proceso que este tiene a fin de conocer el comportamiento del usuario dentro de las páginas, por lo que se estará incurriendo en la LSSI.
De modo que, para estar al derecho con un negocio online hay que estar conscientes de las competencias de estas dos leyes a fin de crear un sitio web dentro del marco legal.
Ya se cumplió el plazo otorgado por la Agencia Española de Protección de Datos ¿aún no sabes que hacer para ajustarte a la nueva ley?
Nueva ley de la LOPD entró en vigencia el 25 mayo del 2018
La Ley de Protección de Datos fue elaborada por primera vez en el año 1999, cuando apenas estábamos empezando a conocer la globalización que nos ofrece el Internet y no imaginamos el fenómeno que hoy estamos viviendo.
Por tanto, la ley intentaba proteger lo que en su momento consideraba peligroso para las personas físicas.
Pero todo ha cambiado mucho desde 1999 y en el 2016 se creó una nueva ley que resuelve algunos de los inconvenientes que no se vieron durante la primera ley.
Aun así, la Agencia Española de Protección de Datos ha dado un plazo de dos años para permitir que los sitios web se pongan al día, y a partir del 25 de mayo del 2018 se empieza a sancionar de acuerdo a las estipulaciones de la nueva ley
¿Cómo aplicar la nueva ley?
A pesar de tener tiempo suficiente en la industria, la verdad es que tanto la LOPD como la LSSI, no le quitaban el sueño a ningún comerciante online, pero con las nuevas estipulaciones, será mejor ponerse al derecho si no quieres ganarte una sanción como la de Google o Groupon (estos ejemplos lo veremos más adelante).
En principio, cuando queríamos captar un lead o nuevo suscriptor, las CTA o Pop-ups no mostraban de forma explícita las políticas de privacidad, por lo que de forma tácita se asume que el suscriptor estaba aceptando por el simple hecho de apuntarse a las newsletter.
Ahora, con la nuevas reglas de la Ley de Protección de Datos, la Agencias reguladora de la actividad comercial online, exige que los sitios web expliquen, de forma explícita, cuáles son las políticas de privacidad dentro del mismo pop-ups. Es decir, en vez de mostrar el clásico pop-ups que lucía así:
Ahora se debe mostrar un casilla en la que el usuario pueda leer las políticas de privacidad, en forma de check box y además colocar un espacio para permitirle dejar claro que acepta las condiciones y desea darse de alta, añadiendo un enlace en el que el usuario pueda leer completamente toda la política de privacidad.
Todos los contactos que hasta ahora han sido obtenidos mediante la omisión de esta información, deben tener el derecho de saber la razón por la que se están usando sus datos de forma explícita.
Una de las forma más recomendada ahora, es enviar una serie de correos electrónicos para confirmar su suscripción dejando claro en que se están usando sus datos.
Organizando el asunto para dejártelo más claro, te dejamos una lista de 8 recomendaciones a fin de que la nueva ley no te tome desprevenido:
- En primer lugar, la recomendación sería que revises todos los mecanismos que tienes en tu sitio web para captar prospectos y verificar si algunos de estos están siendo explicados expresamente para qué quieres los datos del usuario y, posteriormente, reconvertir esa lista de suscriptores que has obtenido con el paso del tiempo.
Sí, es muy probable que con este procedimiento pierdas algunos suscriptores en el camino, pero piensa que en tu lista actualizada tendrá la oportunidad de reafirmar quiénes son tus verdaderos clientes potenciales. Por lo que más bien, debes tomarlo como un proceso de filtrado para segmentar nuevamente tu lista.
- En segundo lugar, no te olvides de los check box, porque es una forma de asegurarte que el usuario está leyendo tus condiciones de privacidad. Recordemos que al poner solo el enlace, muchos de los usuarios no irán hasta a él para verificar de qué va tu política de privacidad. Más bien encárgate de dejar algunas cláusulas bien vistas desde tu pop-up para que te cubras de la ley.
- La tercera recomendación para poner tu sitio web al derecho de la nueva Ley de Protección de Datos, es que una vez que ya te hayas leído la nueva ley, toca reformar tu página de política de privacidad para dejar bien claro cuáles son las estipulaciones que te ayudan a mejorar la protección de datos del usuario. Procura redactar de forma explícita las cláusulas que permitirán informar al usuario. Aunque sabemos que pocos tendrán la valentía de leerla, es una forma de protegerte de las demandas de los usuarios ante la Agencia Española de Protección de Datos.
- Posteriormente, debes asegurar que el mecanismo para darse de baja sea claro y fácil, tanto para los suscriptores como para los clientes.
- Para lo que seas que estás pidiendo los datos, también debes permitir fácilmente, que el usuario o cliente se oponga.
- Una de los nuevos cambios que ha sugerido la ley es que el consentimiento del usuario o cliente sea verificada posteriormente, así que debes asegurarte que tanto tú como el usuario y la agencia reguladora puedan verificar fácilmente cada consentimiento.
- En la redacción de las políticas de privacidad de tu negocio online, debes poner al tanto de quién será el responsable de tratar los datos, el plazo mediante el cual los datos están siendo tratados, la información de los destinatarios, es decir, de quienes tendrán acceso a la información recabada, por ejemplo: la empresa encargada de hacer newsletter, el hosting que aloja la información, etc.
- Recuerda que no es lo mismo crear CTA y pop-up para crear una lista de suscriptores, que para crear un proceso de segmentación y poder concretar otro tipo de acciones comerciales (enviar promociones, descuentos, crear una base de datos por gustos, edades, sexo, etc), en ambos casos hay que aclarar para qué serán tratados.
En definitiva, hay que tratar de redactar las políticas de privacidad lo más claro posible porque la nueva ley será exigente en este sentido. El usuario tiene el derecho de saber todo lo referente al tratamiento de sus datos personales.
Mira este ejemplo:
Esta captura fue tomada check box del su pop-up del blog de Marina Brocca, quien además se dio cita en un webinar muy bueno sobre este mismo tema.
Webinar sobre la Nueva Ley de Protección de Datos
Si gustas saber de forma extendida lo que abarca la nueva ley, Mira el video:
¿Cuáles son las sanciones que podrías ganar si incumples con algunas de las estipulaciones de la Ley de Protección de Datos?
Las sanciones pueden variar de acuerdo a la gravedad, estas se clasifican en tres niveles: leves, graves y muy graves.
-
Leves
Las sanciones leves son penalizadas con multas que van desde los 900 hasta los 40.000 euros. En general la acción se refiere a que el usuario, consumidor o cliente haya pedido que sus datos sean borrados de la base de datos y no se haya realizado la acción que ha pedido.
Las sanciones leves también obedecen a la no inscripción de los ficheros frente al ente regulador, que en este caso es la Agencia Española de Protección de Datos. Así como también tomar los datos del consumidor o usuario sin previo consentimiento del titular. Con la ley de 1999 no era penalizado si se dejaba ver de forma tácita.
2. Graves
Las multas en este caso pueden ir desde 40.000 hasta 300.000 euros y obedecen a acciones más graves como por ejemplo, crear un sitio web en la que la información de usuario o consumidor no está cifrada y los datos son de libre acceso para cualquier otra persona.
También se considera grave que la base de datos de tu negocio sea montaba sobre la nube, por ejemplo, Drobpox o Google Drive. La información guardada en la nube no garantiza que haya total privacidad de los datos y, por tanto, se pone en riesgo los datos del usuario.
Una falta grave podrian ser que después de haberse otorgado los ficheros, estos sean usado con un fin distinto al que se estableció al principio en la Agencia Española de Protección de Datos, así como también se considera una falta grave que recabes información personal de los consumidores o usuarios sin obtener un previo consentimiento del cliente.
Cuidado con esto último, aquellos que se han dedicado a crear una base de datos para hacer publicidad, hacer email marketing o usar las famosas cookies de forma indebida, puedes estar a punto de que la Ley de Protección de Datos toque tu puerta.
3. Muy graves
Las faltas muy graves obedecen a la reiteración de las otros tipos de sanciones, es decir, cuando además de incumplir con lo estipulado en la LOPD, continuas actuando en contra de la Ley de Protección de Datos.
Es decir, que si no informas las políticas de cookies en tu sitio web y el usuario está es desconocimiento y si te ha indicado que incumples con la ley y continuas aplicando cookies sin el consentimiento previo de los usuarios, se te aplicará sanciones más fuertes que van desde 300.001 hasta 600.000 euros.
Las sanciones muy graves también implican alojar los datos de usuarios o clientes en servidores que se encuentran fueran del país o que no cuentan con la seguridad necesaria para proteger los datos de las personas físicas.
En definitiva, toca ponerse al derecho para garantizar que las políticas de privacidad, cookies y datos de los clientes, usuarios y consumidores sean de carácter privado y usados de acuerdo a la declaración de los ficheros otorgados por la Agencia Española de protección de datos.
De lo contrario, puedes ganarte algunas de estas sanciones que, después de estudiar el caso, se le otorgará una multa de acuerdo al nivel de gravedad.
Ejemplos de algunas sanciones reales impuestas por la Agencias Española de Protección de datos
Sanciones a Google España
En el 2013 se hizo conocer una noticia por distintos medios que Google había sido sancionado por la Agencia Española de Protección de Datos.
Luego de varios meses de análisis, se pudo constatar que Google, en sus distintos servicios, recopilaba y usaba la información de sus usuarios sin dejar totalmente claro para que se estaban usando pero.
Además, el uso de datos se daba bajo el desconocimiento del usuario, filtrándolos para segmentar contenido y publicidad. Por lo cual se le asignó una sanción de 900.000 euros.
La razón principal de una de las sanciones se debe a la vulnerabilidad en la protección de los datos de las personas, usuarios de los servicios de Google, por lo que el desconocimiento por parte de la mencionada empresa conllevo a ser multado.
Sanciones a un bar de la capital
Durante ese mismo año, un bar de la capital fue sancionado por la Ley de Protección de Datos con 6.500 euros por instalar videocámaras en las instalaciones del lugar sin informar debidamente que estaban siendo usadas por motivos de seguridad.
Además que la inscripción del fichero no informaba la instalación de videocámaras, por tanto se le multó considerándolo como una falta leve.
Sanciones a Groupon
Groupon es considera una gran empresa de su industria y por la actividad económica a la que se dedica maneja una extensa base de datos.
Su error fue que almacenó los datos de las tarjetas de crédito de sus clientes y cuando regresaban para comprar nuevamente, los datos se autocompletaban. Pero lo más grave del caso fue que el código de seguridad también se guardaba automáticamente.
Por estas dos infracciones Groupon fue sancionado con una multa de 20.000 euros.
¿Y las sanciones de la LOPD cómo quedan?
Anteriormente, la multa más alta era de 600.000 euros, pero ahora esa cantidad ha sido impuesta para multar las infracciones leves.
Ahora la sanciones que se catalogan como muy graves se les asignará una multa por 10.000.000 de euros, una cantidad que sin duda alguna puede terminar de arruinar cualquier negocio en pleno crecimiento.
Además, se agrega un punto más que la antigua ley no tenía, y es que existe la posibilidad de que las empresas tengan que indemnizar a los usuarios que han demandado y de alguna forma se han visto afectados por el “mal tratamiento de sus datos”.
La Ley de Protección de Datos es muy extensa, sin embargo, aquí tratamos de resumir los puntos más críticos, los que por la naturaleza de tu negocio podrían afectar.
Sin embargo, te invitamos a empaparte más sobre el tema y sobre todo a que te pongas al derecho antes de 25 de mayo del 2018, porque será la fecha tope para permitir que los sitios web operen de acuerdo a la vieja ley.
No te olvides que debes hacer énfasis en el consentimiento no tácito y explícito del usuario para el tratamiento de sus datos y que a su vez esto se pueda verificar.
Esperamos que este contenido te haya sido útil y puedas ponerte al día con las nuevas reglas del juego.
Tal vez te interese:
Conoce Todos Los Detalles Sobre el Deep Learning
El Gran Poder de Vender sin Salir de la Oficina
SEMrush, Un Buen Aliado para tu Estrategia de Contenidos
Cómo la Metodología Scrum Puede Mejorar la Competitividad de tu Equipo
Mejora la Reputación de tu Negocio Online con Estos 5 Sencillos Consejos