sábado, 4 de abril de 2015

El derecho de desistimiento en tu tienda online

El derecho de desistimiento es la facultad que tiene el comprador de un producto o servicio de  devolver lo adquirido, dentro del plazo que señala la ley, sin indicar el motivo y sin incurrir en ningún coste adicional.

Es decir, salvo las excepciones que prevé la ley, el consumidor tiene un derecho de devolución sin necesidad de justificar su decisión y sin pagar una penalización por ello.

En relación con las tiendas online, lo primero que hay que tener en cuenta, es el deber informativo: toda tienda online está obligada por ley a poner a disposición del usuario una serie de información (¿Qué textos legales debe tener una tienda online?), y en las “Condiciones Generales de Contratación”, uno de los puntos fundamentales que debemos incluir es toda la información relativa al derecho de desistimiento: plazos, procedimientos, etc...

La regulación del derecho de desistimiento se modificó en el año 2014, con la Ley 3/2014, por la que se modifica la Ley de Consumidores y Usuarios (Principales cambios que supone esta ley en la regulación del comercio electrónico). Se trata de una regulación “relativamente” nueva y, en la actualidad, se pueden ver multitud de tiendas online que gestionan el derecho de desistimiento conforme a la legislación antigua, o que directamente, no informan sobre este derecho a sus usuarios y clientes. Esto es un gran error, especialmente porque se incurre en una infracción que puede dar lugar a importantes sanciones económicas, pero también puede dar lugar a otras consecuencias que se explicarán a lo largo de esta entrada y que, desde luego, no benefician al vendedor.

Por otro lado, una política de devoluciones claramente definida y fácilmente comprensible va a dar al usuario una mayor confianza a la hora de comprar un producto, lo que va a suponer mayores ventas.

Si estás pensando en montar una tienda online, o ya tienes una y no sabes cómo gestionar este derecho, aquí encontrarás la respuesta a todas las preguntas:

sábado, 28 de marzo de 2015

¿Qué textos legales son obligatorios en una página web?

Todas las páginas web están obligadas a  poner a disposición de los usuarios determinada información exigida por la ley. Ya sea una página web meramente informativa, un blog, una tienda online, etc. será obligatorio incluir ciertos textos legales con un mínimo de información (existen algunas excepciones, aunque son más bien pocos los casos en que no es obligatorio).

Actualmente, las principales leyes que regulan esta cuestión son: la LOPD (Ley Orgánica de Protección de Datos), la LSSI (Ley de Servicios de la Sociedad de la Información) y la LGDCyU (Ley General para la Defensa de Consumidores y Usuarios).

La cantidad y el tipo de información a incluir en una página web va a depender de las características, finalidades y funcionalidades de ésta, y lo que se hace es agruparla en diferentes textos legales:

1. “Aviso legal”, obligatorio, en principio, para cualquier página web, excepto para aquellas que se limiten exclusivamente al ámbito doméstico o a actividades personales no económicas donde no se obtenga ningún tipo de beneficio directo o indirecto. La legislación principal para determinar su contenido la encontramos en el artículo 10 de la LSSI.
Cómo redactar el "aviso legal" de una página web.

2. “Política de privacidad”, obligatoria en cualquier página donde se recojan y traten datos personales de los usuarios o clientes (la recogida de datos a través de una web es muy habitual, especialmente a través de formularios de contacto). Su contenido lo encontramos en el artículo 5 de la LOPD.
Cómo redactar la "política de privacidad" de una página web.

3. “Política de cookies”, obligatoria para aquellas webs que utilicen cookies no consideradas como “exentas”. Las cookies más comunes son las de Google Analytics y Google Adsense, aunque existen muchas otras. Su regulación se encuentra principalmente en la LSSI, conocida en relación a esta materia como la “Ley de cookies”.
Cómo adaptar una página web a la “Ley de Cookies”.

4. “Condiciones generales de contratación”, obligatorias para aquellas páginas web donde se realizan actividades de contratación electrónica, es decir, venta de productos o servicios, o se lleve a cabo cualquir forma de contratación online. En este caso, la legislación a tener en cuenta es diversa, siendo las principales leyes las LSSI y la LGDCyU.
Cómo redactar las "condiciones generales de contratación" de una tienda online.

jueves, 5 de febrero de 2015

Cómo adaptar un despacho de abogados o procuradores a la LOPD y LSSI

Debido a mi profesión estoy en contacto continuo con abogados y procuradores, y me sorprende la gran cantidad de despachos que aún no cumplen con las obligaciones impuestas por la LOPD, ni siquiera las más evidentes de cara al público. Sorprende aún más que, la mayoría, no conoce que requisitos y obligaciones debe implantar para cumplir con esta ley.

Adaptarse a las obligaciones en materia de protección de datos es más fundamental que nunca cuando se trata de expertos en leyes.

En primer lugar, por la importancia que, en la sociedad actual, tiene la salvaguarda de la privacidad personal, especialmente cuando se trata de datos sensibles, como los que se ponen a disposición de un abogado; y, en segundo lugar, por la confianza que se va a trasmitir a los clientes, que presuponen de un abogado un cierto conocimiento y adaptación a la Ley de Protección de Datos. Además, cualquier cliente con conexión a Internet puede comprobar si cumple muchas de las obligaciones que impone la ley, como por ejemplo si están inscritos los ficheros en el registro de la AEPD.

Por eso, hoy quiero dedicar una entrada a explicar qué medidas se deben adoptar en este tipo de despachos, que no son otras que las de aplicación general, pero explicadas u orientadas a abogados y procuradores.

lunes, 29 de septiembre de 2014

La protección de datos en las comunidades de vecinos:

comunidad vecinos LOPD
Hoy quiero explicar de forma muy sencilla y comprensible el tema de la protección de datos en las comunidades de vecinos, de manera que a la hora de tratar este tema todos sepamos las obligaciones que tiene nuestra comunidad y si las estamos cumpliendo de acuerdo con lo que marca la ley.

Como es lógico, todas las comunidades tratan multitud de datos personales; principalmente, datos de los propietarios, como nombre, dirección, teléfono, cuentas bancarias, etc, que son necesarios para llevar a cabo la gestión de la comunidad; pero también, se tratan datos de terceros, como empleados o empresas con los que se contratan diversos servicios, como por ejemplo limpieza, o datos de inquilinos.

Así, a las comunidades de vecinos, les es aplicable la Ley Orgánica de Protección de Datos (LOPD), lo que se traduce en la obligación de cumplir una serie de requisitos, los cuales vamos a examinar con carácter general:
1. Inscripción de ficheros:
La primera obligación es inscribir los ficheros (previamente a su creacción) en el Registro de la Agencia Española de Protección de Datos.

Dentro del formulario NOTA para la inscripción de ficheros (se obtiene descargándolo directamente desde el sitio web de la AEPD: www.agpd.es) existen varios tipos predefinidos para simplificar el proceso, uno de los cuales es el de “comunidades de propietarios”.

Es importante tener en cuenta que el responsable del fichero siempre será la comunidad de propietarios, independientemente de que exista un administrador de fincas.
2. Documento de Seguridad:
La comunidad deberá contar con un Documento de Seguridad, que contenga las medidas técnicas y organizativas que garanticen la seguridad de los ficheros. Las medidas de seguridad serán distintas dependiendo del nivel que corresponda según los datos tratados.
3. Encargado del tratamiento:
Es frecuente que la comunidad tenga un Administrador, que va tener acceso a los datos personales de los vecinos, empleados, inquilinos... Es decir, existirá un acceso a datos por cuenta de terceros, donde el administrador de fincas será el encargado del tratamiento, y la comunidad la responsable del fichero.

Ello obliga a que se cumplan las especificaciones que la LOPD regula para esta figura, es decir, deberá existir un contrato entre comunidad y administrador donde se regulen los extremos indicados en el artículo 12, como por ejemplo: que el administrador no aplicará o utilizará los datos con un fin distinto del que figure en el contrato, ni los comunicará a otras personas; las medidas de seguridad que el administrador está obligado a implementar; obligación de guardar secreto; que una vez finalizada la prestación los datos de carácter personal deberán ser destruidos o devueltos al responsable…
4. Videovigilancia:
En el caso de que existan zonas videovigiladas será necesario cumplir con las obligaciones en materia de videovigilancia previstas en la ley. Entre otras, la comunidad deberá:
  • inscribir el fichero de videovigilancia en el resgistro de la AEPD si se grabaran las imágenes.
  • colocar carteles informativos en un lugar visible.
  • poner a disposición de los interesados impresos de ejercicio de los derechos ARCO.

lunes, 11 de agosto de 2014

Curriculum Vitae y LOPD: ¿Qué hacer con los currículums que recibe mi empresa?

Actualmente, en cualquier empresa, es muy habitual recibir currículum, bien a través del correo electrónico o entregados directamente en las instalaciones, incluso sin haberlos solicitado. En este post voy a explicar que previsiones en materia de protección de datos debe tener una organización al tratar los currículums que recibe.

En primer lugar, como en cualquier tratamiento de datos será necesario cumplir el principio de información del artículo 5 de la LOPD. Es decir, cada vez que un candidato nos presente un curriculum vitae será necesario poner a disposición del mismo la siguiente información:

  1. La existencia de un fichero o tratamiento de datos, la finalidad de la recogida de los datos y los destinatarios de la información.
  2. El carácter obligatorio o facultativo de su respuesta: Los campos obligatorios suelen señalarse con un asterisco (*).
  3. Las consecuencias de la obtención de datos o de la negativa a suministrarlos: Que sucedería en el caso de que el usuario no proporcione todos o alguno de los datos solicitados.
  4. La posibilidad de ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición): Es necesario poner a disposición del usuario algún medio sencillo y gratuito para ejercer estos derechos, por ejemplo, teléfono, correo electrónico, dirección postal...
  5. La identidad y dirección del responsable del tratamiento. 

La cuestión ahora es determinar cómo informar de estos extremos,  para lo que habrá que atender a la situación concreta:

1. Cuando disponemos de formularios normalizados para la presentación de currículums:

Siempre que los medios lo permitan, esta opción es muy recomendable, ya que nos permite, no solo informar adecuadamente, si no también, definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad, etc.

Los formularios pueden proporcionarse a través de la página web o bien en formato papel. En todos los casos debemos incluir la correspondiente cláusula informativa, con los requisitos del artículo 5, por ejemplo a través de un enlace con la información en el caso de la página web.

2. Cuando realizamos algún tipo de anuncio o convocatoria:


Será necesario incluir en la misma la información del artículo 5 de la LOPD.

3. Cuando el currículum se presenta espontáneamente a través de correo postal o electrónico:


Esta situación es muy normal en las empresas, donde se reciben constantemente CVs sin haber sido solicitados.

En estos casos deben fijarse procedimientos de información que supongan algún acuse o confirmación de conocer las condiciones en las que se desarrollará el tratamiento. Si el candidato facilita una dirección de correo electrónico puede remitírsele la información del artículo 5 LOPD por ese medio, solicitando confirmación de la recepción y condicionando el tratamiento de los datos al acuse de recibo.

4. Cuando el currículum se presenta directamente por el interesado en el mostrador o instalaciones de la empresa sin haber sido solicitado:

También en este caso el candidato debe ser informado de los extremos del artículo 5 LOPD, y ello podrá hacerse por cualquier medio que acredite el cumplimiento de este deber, como por ejemplo, carteles, documentos de acuse de recibo y, en general, cualquier medio que permita garantizar el cumplimiento del deber de información.

Finalmente, recordar 2 cuestiones importantes:
  • Mientras persista el tratamiento de los datos del afectado, debemos conservar el medio a través del cual acreditamos el cumplimiento del deber de información.
  • No podemos ceder los CVs a otras empresas, ni siquiera aunque pertenezcan al mismo grupo de empresas, si no contamos con el consentimiento del candidato.
Para más información acerca de esta cuestión recomiendo la lectura de la Guía de protección de datos en las relaciones laborales, elaborada por la Agencia Española de Protección de Datos.

lunes, 28 de julio de 2014

Requisitos legales para enviar publicidad por email o vía postal

requisitos publicidad
Esta es una consulta que mis clientes me hacen constantemente.  Además, considero que es una cuestión que aún no está clara por la mayor parte de empresas y autónomos, y así queda patente con la cantidad de correos publicitarios que recibimos de empresas a las que no hemos dado nuestro consentimiento.

Por eso, hoy, voy a hablar de manera sencilla sobre que factores tenemos que tener en cuenta a la hora de enviar publicidad.

Para abordar esta cuestión hay que distinguir el medio a través del cual va a llevarse a cabo la publicidad:

  • Comunicación por medios electrónicos.
  • Envío postal.

PUBLICIDAD POR MEDIOS ELECTRÓNICOS:

Nos referimos, fundamentalmente, a los correos electrónicos o emails, aunque también entran en esta categoría el fax, los whatsapp, los SMS y MMS y otros medios similares.

En estos casos, la ley que resulta de aplicación es la LSSI (Ley de Servicios de la Sociedad de la Información), donde se prohíbe expresamente enviar correos electrónicos sin tener el consentimiento del destinatario (ya sea una persona física o una empresa).

Sólo existe una excepción al respecto, podremos enviar emails comerciales,aún no teniendo el consentimiento del destinatario, si ya hemos mantenido una relación contractual previa con el mismo y siempre que se trate de productos o servicios similares a los que inicialmente fueron objeto de contratación.

No existen más excepciones. No podemos justificar el envío correos publicitarios aludiendo a que la dirección la hemos obtenido de fuentes accesibles al público.

En cualquier caso, tendremos que facilitar al destinatario la posibilidad de oponerse al envío de publicidad  incluyendo una dirección de correo electrónico en cada una de las comunicaciones comerciales que realizamos.

PUBLICIDAD POR VÍA POSTAL:

Se trata de los envíos por correo ordinario.

En este caso, tenemos que distinguir los envíos postales dirigidos a empresas de los dirigidos a particulares.

Publicidad postal a empresas: Podemos realizar este tipo de envíos sin necesidad de consentimiento, ya que no es de aplicación la LOPD por no ser datos de carácter personal.

Publicidad postal a particulares: Esta actividad deberá adecuarse a la LOPD (Ley Orgánica de Protección de Datos). Será posible el envío de publicidad cuando tengamos el consentimiento del destinatario y cuando los datos figuren en fuentes accesibles al público (FAP), por ejemplo, personas que aparecen en las guías telefónicas o en las guías de colegios oficiales, si bien hemos de  tener en cuenta una serie de requisitos.

Podremos enviar publicidad comercial a las personas que figuran en las guías de colegiados siempre que:
  • se trate de datos que consten en la edición actual de la guía (las ediciones anteriores pierden el carácter de FAP).
  • no figure en ellas oposición al tratamiento de datos con fines publicitarios por el afectado.
Además, en cada comunicación que realicemos, tendremos que informar al destinatario que hemos obtenido sus datos de una FAP, de la entidad de donde los hemos obtenido, datos del responsable del tratamiento, y facilitarle la posibilidad de ejercer los derechos ARCO.

Para más información sobre esta materia, el informe 0105/2010, del Gabinete Jurídico de la Agencia Española de Protección de Datos, resuelve la cuestión sobre si resulta conforme a la normativa de protección de datos el envío de comunicaciones publicitarias a empresas o personas que aparecen en las guías telefónicas o en las guías de colegiados que reparten los colegios oficiales.

Finalmente, recordar, que si contratamos a una empresa para que realice las campañas de publicidad  o utilizamos plataformas externas de email marketing, estaremos realizando una cesión de datos, por lo que será necesario tener en cuenta las características de la empresa y si cumple con la LOPD, así como firmar un contrato de acceso a datos por cuenta de terceros.

viernes, 11 de julio de 2014

Derecho al olvido: cómo eliminar nuestra información de los resultados de Google

derecho al olvido
El "derecho al olvido" no es un nuevo derecho. Se tratra ni más ni menos, que la posibilidad de ejercer los derechos de cancelación y oposición frente a los motores de búsqueda, es decir, el derecho a que un motor de búsqueda retire determinados enlaces que contienen informaciones relativas a una persona, cuando la búsqueda se hace a partir del nombre y apellidos de la misma.

Hoy en día, cualquiera que tenga acceso a un ordenador con internet puede obtener un perfil  personal de un determinado individuo. Al teclear un nombre en Google obtenemos un conjunto de información de forma organizada que se configura como una “Biografía de buscador”.

Por esta razón, muchas personas están sufriendo perjuicios en su ámbito personal, profesional o en sus relaciones sociales, ya que al hacer una búsqueda en Google con su nombre y apellidos aparecen informaciones que  en ocasiones son falsas, o son informaciones fragmentarias u obsoletas, que no muestran un perfil real de la persona en el momento actual. Además, el efecto se multiplica debido al importante papel que juegan internet y los motores de búsqueda en la sociedad moderna, y aún cambiando de residencia o de trabajo, la información sigue apareciendo, y los perjuicios no cesan aunque esa información ya no tenga relevancia.

lunes, 19 de mayo de 2014

Dropbox y LOPD, su uso por empresas y profesionales:

Dropbox y LOPD
En la actualidad,  multitud de despachos, empresas y autónomos utilizan servicios de almacenamiento en la nube, como por ejemplo Dropbox. Su utilidad es innegable, ya que permite almacenar gran cantidad de información, pudiendo acceder a ella desde cualquier lugar, compartiéndola de forma inmediata y disponiendo de una copia de seguridad de todo el trabajo realizado. Todo ello de forma gratuita (aunque también existen versiones de pago), lo que supone un importante ahorro de costes.

Es por ello que, hoy, vamos a analizar si es legal o no, desde el punto de vista LOPD, usar este tipo de servicios, en concreto, si se hace de forma profesional (cuestión distinta sería utilizar Dropbox para actividades exclusivamente personales o domésticas que se inscriban en el marco de la vida privada o familiar, donde no es de aplicación la LOPD).

En los últimos tiempos, la utilización de estos servicios está proliferando significativamente, pero, el hecho de su utilización generalizada, no va a impedir que, en un determinado momento, podamos ser sancionados por incumplir la LOPD; esto hay que tenerlo en cuenta, ya que de no cumplir las exigencias legales, estaríamos cometiendo una infracción, que podría conllevar importantes sanciones económicas.

¿Cuándo se aplica la LOPD?

Para determinar si la LOPD es aplicable, hemos de tener en cuenta el tipo de datos almacenados.

No será de aplicación la LOPD, y por lo tanto no tendremos de cumplir ningún requisito excepcional, si almacenamos documentos que no recojan datos personales. Por ejemplo, si almacenamos modelos de contratos, planos de viviendas, etc… siempre que no contengan datos que permitan asociarlos a personas identificadas o identificables.

Cuestión distinta es si almacenamos cualquier tipo de documento que incluya datos personales, por ejemplo, contratos con terceros; fichas, tablas de Excel o expedientes con información de nuestros clientes, etc. En este caso será de aplicación la LOPD y habrá que tener en cuenta dos aspectos fundamentales:

martes, 29 de abril de 2014

Principales cambios en la regulación del comercio electrónico tras la reforma de la Ley de Consumidores y Usuarios.

El pasado 28 de marzo se publicó en el BOE la Ley 3/2014, de 27 de marzo, con la que se modifica el texto refundido de la Ley General para la Defensa de los Consumidores y usuarios.

Esta Ley, que traspone en nuestro ordenamiento jurídico la Directiva 2001/83/UE, modifica el TRLDCyU en lo relativo a la prestación y contratación a distancia de servicios con consumidores. Es decir, supone nuevas obligaciones para el comercio electrónico, que se sumarán a las ya establecidas por la LSSI y LOPD.

El objetivo general de la reforma se centra en una más eficaz protección del consumidor y usuario, evitando posibles abusos por parte del empresario, haciendo hincapié en la necesidad de una información clara y trasparente.

Estas modificaciones serán de aplicación a partir del 13 de Junio del 2014, si bien, conviene ir preparando nuestras tiendas online a la nueva regulación, revisando especialmente las condiciones generales de contratación (Cómo redactar las condiciones generales de contratación de tu tienda online).

Las principales novedades introducidas en el ámbito del e-commerce son:

viernes, 11 de abril de 2014

Whatsapp y LOPD. Comunicación con los clientes a través de Whatsapp

Whatsapp y LOPD
Hoy por hoy, el uso de Whatsapp está a la orden del día, prácticamente todos lo utilizamos de manera cotidiana en nuestra vida diaria.

Resulta difícil encontrar a alguien que no cuente con esta aplicación en su Smartphone. Se trata de una herramienta cómoda, fácil de usar, y que nos permite una comunicación en tiempo real.


Pero ¿es adecuada su utilización para comunicarnos con nuestros clientes?

Por ejemplo, en la relación abogado-cliente, es frecuente el intercambio de información, muchas veces sensible, como datos de salud, de comisión de infracciones, antecedentes penales, incluso determinadas imágenes, y hay que tener en cuenta que esta aplicación presenta ciertos problemas de privacidad que no podemos obviar cuando la utilizamos más allá de un uso particular.  

La Autoridad Catalana de Protección de Datos emitió un dictamen en el que resuelve esta cuestión. Lo hizo tras la consulta realizada por un Colegio de Abogados sobre los riesgos que supone esta aplicación en las relaciones entre abogado y cliente, y sobre si la misma se adecúa a la legislación en materia de protección de datos.