LOPD

¿Su empresa cumple con las obligaciones de la LOPD?

La LOPD (Ley Orgánica de Protección de Datos) obliga a todas las organizaciones, empresas e instituciones a garantizar la seguridad de los datos de carácter personal que tratan y almacenan en sus sistemas de información y clasifica esos datos en 3 niveles de seguridad (básico, medio y alto). Para cada nivel impone una serie de obligaciones en materia de backup: desde garantizar la restauración de los datos al momento anterior de producirse la pérdida hasta disponer de copias almacenadas externamente de forma segura.

 

Más información en: http://jumbocopy.es/lopd

Ayuda: http://www.ayudaleyprotecciondatos.es/

Página oficial de la Agencia Española de Protección de Datos: https://www.agpd.es

 

 

Cumplir LOPD. Guía básica de Ayuda de la Ley de Protección de Datos

 

Aún teniendo en cuenta que cada entidad responsable de ficheros con datos personales tendrá sus peculiaridades en función del origen de los datos, su tipología, características del tratamiento y del tipo sistemas y soportes en los que se manejen los datos, etc, ofrecemos a título informativo una breve guía de las diferentes fases de adaptación a la LOPD, enlazando a los correspondientes apuntes en el blog, donde se desarrolla cada punto en profundidad.

La Agencia Española de Protección de Datos (AEPD) ha editado una serie de guías y manuales enfocados a resolver dudas en diferentes aspectos. Aquí están recopilados:  Los manuales de la AEPD.

Finalmente, debido a que es probablemente el motivo más frecuente de sanción, conviene repasar bien todo lo relativo al Consentimiento.

Fuente: http://www.ayudaleyprotecciondatos.es/2011/11/10/cumplir-lopd-guia-basica-ayuda-ley-proteccion-datos/

 

 

 

ley organica de proteccion de datos Cómo cumplir la LOPD en una tienda online

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar.

Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.

Para vender mediante una tienda online en España tenemos que cumplir la LSSICE y la LOPD. Sino la cumples puedes exponerte a importantes multas. Esto parece bastante obvio, pero existen muchas tiendas fuera de la legalidad que están vendiendo online sin cumplir los requisitos.

Para cumplir los requisitos, tienes varias opciones, o bien solicitar a una empresa especializada que te adecue la web a los requisitos, adherirte a los sellos de calidad que certifican estos puntos como podría ser iCERT (iCERT) o tratar de hacer todas las modificaciones y trámites por ti mismo. Lo cual, resulta más económico, pero mucho más farragoso si no entiendes de temas jurídicos.

En este artículo, intentaremos introducirte, levemente, en los puntos básicos para cumplir correctamente con la ley:

LOPD: Ley Orgánica de Protección de Datos

Las obligaciones de la LOPD se dividen básicamente en 3 apartados diferenciados: Notificación, Obtención del consentimiento y Protección de los datos.

  • Notificación: Notificar ala Agencia Española de Protección de Datos (AGDP) de aquellos ficheros de los que somos propietarios (y cualquier variación de los mismos).

Como cumplirlo: Rellenando el sistema NOTA (www.agpd.es) Hay una plantilla que te guía al completarlo. Se puede realizar de forma telemática.

  • Obtención del consentimiento: Para obtener y almacenar los datos de terceros debemos de contar son su consentimiento, no pudiendo hacer nunca uso fraudulento de ellos.

Como cumplirlo: Indicando en la web en el momento que se vaya a recoger algún dato personal, que van a ser almacenados y solicitando su consentimiento expreso.

Las páginas comunes donde debe de quedar esto implementado suelen ser las de contacto, alta de usuario y al realizar un pedido.

Además el cliente debe de poder actualizar o eliminar esos datos desde su panel una vez logeado, y debemos de indicarle mediante instrucciones como lo puede hacer.

  • Protección de los datos: Los ficheros con esos datos deben estar bien protegidos físicamente y tecnológicamente. La información solo puede ser accesible por personas autorizadas.

Para garantizar dicha seguridad, la tienda online debe de estar en un alojamiento que cumpla con los requisitos, lo mejor es asegurarse que el proveedor es legal y tiene todo en regla, por norma general todos los proveedores europeos deben de estar adecuados. Si la empresa es norteamericana, que no lo recomiendo, esta debe de estar  en la lista de “Safe Harbour” y tener el estado activo.

También debe de redactar un documento de seguridad, con las medidas de índole técnica y organizativa que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

 

 

2014-03-19 Cómo hago que mi página web cumpla con la LOPD y la LSSI

¿Cómo cumplir con la LOPD y la LSSI en tu página e-commerce?

 

¿Sabías que el hecho de no informar sobre el almacenamiento de los datos personales o el uso de cookies puede acarrearte sanciones económicas por parte de la Agencia Española de Protección de Datos (AEPD)?

Sin ir más lejos, recientemente una conocida web de vales de descuento ha sido sancionada con nada menos que 20.000 € por no informar a sus usuarios del almacenamiento de los datos de sus tarjetas de crédito. Al mismo tiempo, la AEPD, ha impuesto la primera multa a una web por no informar a los visitantes sobre el uso de cookies.


Si crees que por ser un pezqueñín en medio del mar de internet, es imposible que la AEPD se fije en ti, puede que algún día te pegues un buen susto, a la vez que te rascas el bolsillo. Deberías saber que la mera denuncia de tu página web por cualquier persona anónima, puede dar inicio a un procedimiento sancionador, que termine en sanción. Por eso, hoy quiero darte un par de consejos básicos, sin marearte demasiado con los temas legales, sobre qué debes hacer para que tu web cumpla con todas las de la Ley, en relación a los datos de carácter personal.
A continuación expongo, a través de explicaciones sencillas y ejemplos claros, qué es lo que debes hacer para dar cumplimiento a las normas citadas:

1.- Cumplir con la LOPD

El artículo 5.1 LOPD “Derecho de información en la recogida de datos”, establece que:

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de   la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
El artículo anterior, se traduce en que en tu página web deberás introducir un formulario del estilo siguiente:

En cumplimiento con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (‘LOPD’), le informamos de que los datos personales e información que nos facilite al cumplimentar el presente formulario electrónico, serán incorporados en un fichero de datos de carácter personal titularidad de …………………..
En este sentido, le informamos que la recogida y tratamiento de sus datos tienen como finalidad la resolución de las consultas planteadas sobre el contenido de esta web. Los campos marcados con asterisco son de cumplimentación obligatoria, siendo imposible realizar la finalidad expresada si no aporta esos datos.
El hecho de utilizar el formulario de consulta implica que expresa su consentimiento para que los datos suministrados queden incorporados a un fichero automatizado titularidad de ………………………..
Asimismo, le rogamos que en este formulario de consulta no incorpore datos relativos a su salud, salvo que usted quiera indicarnos su grado de discapacidad o condición de discapacitado.
En todo caso, usted puede ejercitar los derechos de acceso, rectificación, cancelación y oposición, previstos por la Ley, dirigiendo un correo electrónico al Responsable del Fichero: ………………………………………., indicando su nombre y apellidos, e incluyendo como asunto del correo “Derechos ARCO”.

Este aviso deberá ser leído y aceptado por todos los usuarios que introduzcan datos personales en tu web a través de añgún formulario, por lo que te recomiendo que lo incluyas justo debajo del formulario, con una casilla que deban clicar del tipo “He leído y acepto la política de privacidad”.

2.- Cumplir con la LSSI

La Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI), fue creada en transposición de la Directiva Europea 2000/31/CE, para mejorar la seguridad de los usuarios en el comercio electrónico.
Recientemente, dicha ley se ha visto modificada por el Real Decreto Ley 13/2012, de 30 de marzo, y en concreto el artículo 22.2, introduciendo la obligación de informar sobre el uso de cookies en tu página web, para que el usuario acepte o rechace expresamente su uso. En concreto, se recomienda facilitar la información en el sistema de “doble capa”: una primera, a modo de anuncio breve en la homepage (seguro que ya lo has visto en multitud de páginas), y una segunda, en la que detalles las cookies concretas utilizadas. Deberías utilizar un texto similar al siguiente:
1ª capa (homepage):
Nuestra web usa cookies para ayudar a mejorar tu experiencia de navegación. Para más información acerca del uso de cookies, pincha aquí”

2ª capa (link a “aviso legal” “política de cookies”, etc.):
En este apartado re recomiendo que detalles al máximo (como te muestro en mi ejemplo), el tipo de cookies utilizadas, y que no te limites a decir que usas “cookies propias y de terceros), pues fue el escaso detalle de las cookies utilizadas uno de los fundamentos de la sanción mencionada.
A continuación te muestro algunos ejemplos de cookies comunes. Ojo, es solo un ejemplo que puedes coger como referencia, pero deberás adaptarlo al tipo de cookies que uses tú.
Uso de cookies

Nuestra página web utiliza cookies. Una cookie es una cadena de texto de información que un sitio web transfiere al archivo de cookies del navegador en el disco duro de su ordenador para que el sitio pueda recordar quién es usted.
Al acceder a nuestro sitio web o iniciar sesión en nuestra área privada, le enviamos una cookie de sesión cifrada. Una cookie de sesión es una cookie temporal que sólo permanece en el archivo de cookies de su navegador hasta que abandone el sitio web. Esta cookie se utiliza para validar su acceso a diferentes partes del sitio web.
Asimismo, ésta página utiliza Google Analytics, un servicio analítico de webs prestado por Google, Inc. Google Analytics utiliza cookies para ayudar a este sitio web a analizar cómo los usuarios utilizan el sitio.
Deshabilitar / Habilitar cookies
Usted tiene la posibilidad de aceptar o rechazar las cookies modificando la configuración de su navegador. Sin embargo, usted no será capaz de iniciar sesión en el sitio web si se desactivan las cookies. También puede eliminar manualmente las cookies de su sistema. Para obtener más información sobre cómo desactivar y habilitar las cookies debe buscar “Cookies” en la documentación de su sistema operativo.

 

 

Nombre Expira Datos almacenados Función
PHPSESSID Fin de sesión Sesión ID Se utiliza para el seguimiento de la existencia de su sesión en nuestro sitio web.
WAMUSER Fin de sesión Sesón ID encriptada Creado después del inicio de sesión. Se utiliza para validar la sesión autenticada a través de nuestros servicios en línea seguros.
ASP.NET_SessionId Fin de sesión Datos de la sesión encriptados Creado siempre que acceda una de nuestras aplicaciones en línea. Se utiliza para almacenar la información de estado de la aplicación,
mientras ésta se utiliza.

———

Cookies de terceros.
Google Analytics.

———

Cookie Expira Datos almacenados Función
__utma 2 años desde inicio / actualización Google Analytics Unique ID number Seguimiento de datos para Google Analytics. Ayuda a recavar información acerca del número de visitantes.
__utmb 30 minutos desde inicio / actualización Google Analytics Unique ID number Seguimiento de datos para Google Analytics. Ayuda a mejorar la sesión del usuario.
__utmbc End of session Google Analytics Unique ID number Seguimiento de datos para Google Analytics. Ayuda a mejorar la sesión del usuario, y si la sesión ha expirado.
__utmz 6 months from set / update Google Analytics Unique ID tracking numbers Seguimiento de datos para Google Analytics. Se usa para calcular parámetros de otros dominios.

———

Una vez tengas implementados estos avisos, tu web está a salvo, al menos en lo que refiere a la AEPD, de aquellos posibles clientes “avispados”, que siempre encuentran alguna manera de fastidiarte.

¿Tienes alguna duda acerca del uso de cookies o sobre qué información debes dar a tus visitantes? Plantea aquí tus dudas y te responderé encantada.

Fuente: http://www.livecommerce.es/blog/como-hago-que-mi-pagina-web-cumpla-con-la-lopd-y-la-lssi/

 

 

ADAPTACIÓN 

Los servicios que incluye la adaptación de la LOPD son:

›        Auditoría.

La auditoría consiste en la localización de los datos de carácter personal, la clasificaciónde los mismos según su naturaleza, la identificación de los usuarios de dichos datos, laubicación de los ficheros donde están almacenados, etc. Resultado de esta auditoría, se generan un fichero y un documento (Documento de Seguridad). Este documento debe guardarlo la empresa y tenerlo continuamente actualizado.

›        Identificación e Inscripción de los ficheros ante la AGPD.

Una vez ubicados los ficheros donde están almacenados los datos, hay que inscribirlos en la Agencia Española de Protección de Datos.

›        Redacción del documento de seguridad

Es un documento interno de la organización, que debe mantenerse siempre actualizado. Disponer de este documento es una obligación para todos los responsables de ficheros y para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.

›       Redacción de contratos, formularios y cláusulas.

Existen diversas obligaciones por parte del responsable del fichero al recoger y tratar los datos de Protección de datos. Como por ejemplo:

 

Informar a los afectados (deben conocer para qué se utilizan sus datos, que existe un fichero o tratamiento con sus datos y se debe indicar el responsable del fichero y su dirección o la de su representante.

Solicitar el consentimiento. El artículo 3.h) de la Ley Orgánica de protección de datos 15/1999 define el consentimiento como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen”.

Calidad y Proporcionalidad de los datos. Todos los datos deben recogerse con fines determinados, explícitos y legítimos. No usarlos para otros fines. Deben ser adecuados, pertinentes y no excesivos en relación con esa finalidad. No recogerlos si no son necesarios. Deben ser exactos y responder con veracidad a la situación del titular. Deben mantenerse actualizados. Sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para las que han sido recogidos. Cancelarlos si ya no son necesarios.