GUIA EXPLICATIVA
DEL DOCUMENTO DE SEGURIDAD
El Documento de Seguridad es una gu’a orientativa que recoge las medidas de
’ndole tŽcnica y organizativa acorde a la normativa vigente en materia de
Protecci—n de Datos de car‡cter Personal. Dichas medidas ser‡n de obligado
cumplimiento, para el Responsable de los ficheros de car‡cter personal, los
Encargados de Tratamiento, y el personal con acceso a datos personales.
El
art’culo 9 de la Ley Org‡nica 15/1999, de 13 de diciembre, de Protecci—n de
Datos de Car‡cter personal, (LOPD) establece en su punto 1 que "el responsable del fichero, y, en su caso,
el encargado del tratamiento, deber‡n adoptar las medidas de ’ndole tŽcnica y
organizativas necesarias que garanticen la seguridad de los datos de car‡cter
personal y eviten su alteraci—n, pŽrdida, tratamiento o acceso no autorizado,
habida cuenta del estado de la tecnolog’a, la naturaleza de los datos
almacenados y los riesgos a que est‡n expuestos, ya provengan de la acci—n
humana o del medio f’sico o natural".
El Real
Decreto 1720/2007, de 21 de diciembre (RDLOPD), en su T’tulo VIII, establece
las medidas de ’ndole tŽcnico y organizativo que los responsables de los
tratamiento o los ficheros y los encargados de tratamiento han de implantar
para garantizar la seguridad de los ficheros, los centros de tratamiento,
locales, equipos, sistemas, programas y las personas que intervengan en el
tratamiento de datos de car‡cter personal.
El presente Documento, responde a la obligaci—n establecida en el
art’culo 88 del RDLOPD, de elaborar un Documento de Seguridad en el que se
regulen las medidas de seguridad de los ficheros, automatizados o no, que
contengan datos de car‡cter personal.
Las medidas de seguridad
previstas en el RDLOPD se caracterizan por ser:
á
M’nimas: las medidas de
seguridad contempladas en el R.D. 1720/2007 tienen car‡cter de m’nimos
exigibles, lo que supone que deban implantarse de manera que permitan
garantizar la seguridad de los datos, evitando su pŽrdida, destrucci—n o
manipulaci—n no autorizada por terceros.
á
Acumulativas: cada nivel de
medidas de seguridad es acumulativo al anterior, es decir, los ficheros a los
que les sea exigible el nivel alto, deber‡n cumplir tambiŽn con las medidas de
seguridad de nivel medio y b‡sico.
El Documento de Seguridad es un documento interno de la
empresa, que debe mantenerse siempre actualizado, es una obligaci—n para todos
los Responsables de Tratamiento y, en su caso, para los Encargados del
Tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.
ACTUACIîN DE LA
EMPRESA/RESPONSABLE DE FICHEROS O TRATAMIENTO, DE ACUERDO CON INDICACIONES DEL
DOCUMENTO DE SEGURIDAD
1.
Portada del
Documento de Seguridad: Se nombra la empresa o persona Responsable del
tratamiento de datos de car‡cter personal, y el Nivel de Seguridad de la misma,
de acuerdo con el tipo de ficheros que tratan por raz—n de su actividad
comercial.
2.
êndice del
Documento de Seguridad: Lista ordenada de temas, anexos y cl‡usulas
desarrolladas en el Documento.
3.
Objeto del
Documento de Seguridad: Descripci—n pormenorizada del contenido del
Documento, de acuerdo con las obligaciones exigidas por la legislaci—n vigente
en la materia.
á
Aparece cuadro enunciativo de los
ficheros que han sido inscritos en el Registro General de la Agencia Espa–ola
de Protecci—n de Datos, con los correspondientes c—digos de inscripci—n.
4.
çmbito
de Aplicaci—n: Se establecen las categor’as de usuarios sobre los
que se aplicar‡ el Documento, aquellos que tienen acceso o tratan de
algœn modo datos personales, bajo indicaciones del Responsable del Tratamiento.
5.
Recursos
Protegidos: Con el objetivo principal de controlar y proteger datos
de car‡cter personal de personas f’sicas identificadas o identificables, se
enumeran los posibles frentes desde los que se puede efectuar el acceso o
tratamiento.
6.
Medidas de
Seguridad: Descripci—n de los tres Niveles de protecci—n establecidos por la
legislaci—n vigente (B‡sico, Medio, Alto), en funci—n del grado de sensibilidad
de los datos personales que sean tratados, la persona o entidad que los trate,
y el objeto de dicho tratamiento.
á
Aparecen definidos los posibles tratamientos que
pueden producirse con respecto a los ficheros, la responsabilidad y
obligaciones legales de cada una de las figuras que concurren en dicha
actuaci—n.
á
Detallamos los tipos de ficheros existentes
(Automatizados/ No Automatizados), y las medidas aplicables para cada uno de
ellos.
á
Enumeramos y describimos cada una de las
obligaciones legales exigidas para los ficheros tratados y el Nivel de
Protecci—n establecido para cada uno de ellos.
ANEXOS
ANEXO 1. DATOS DE NOTIFICACION: Datos de la
empresa Responsable del Fichero o Tratamiento y de nuestra empresa (Empresa
Consultora LOPD) y representante legal (Jose Ramos Fern‡ndez) como Declarante
ante la Agencia de Protecci—n de Datos de los ficheros notificados.
ANEXO 2. ESTRUCTURA DEL FICHERO: De acuerdo con
la informaci—n que nos proporciona la empresa sobre el tipo de datos personales
tratados, procedemos a describir cada uno de los ficheros notificados ante la
Agencia de Protecci—n de Datos, con indicaci—n del contenido y finalidad de los
mismos.
ANEXO 3. DESCRIPCION DEL SISTEMA INFORMATICO: De
acuerdo con la informaci—n proporcionada por la empresa, detallamos la manera
en que el Responsable del Tratamiento almacena y protege los ficheros tanto
automatizados como no automatizados.
ANEXO 4. ENTORNO DEL
SISTEMA OPERATIVO Y COMUNICACIONES: Cantidades y modelos de equipos
inform‡ticos y dispositivos de almacenamiento de documentaci—n no automatizada
que posee la empresa.
ANEXO 5. DESCRIPCION DEL
SISTEMA INFORMATICO: Detalles del funcionamiento del Sistema
Inform‡tico del Responsable del Tratamiento, con respecto a los datos de
car‡cter personal almacenados en sus equipos, el modo de acceso por parte de
usuarios/trabajadores, descripci—n de la copia de seguridad que se realiza y
aplicaciones inform‡ticas utilizadas.
ANEXO 6. CONTRATO DE TRATAMIENTO DE DATOS POR
CUENTA DE TERCEROS: Es un Contrato que debe firmar el Responsable de Tratamiento, con
aquellas empresas o personas que, por prestar un servicio concreto a la empresa
Responsable del fichero, tienen acceso a datos personales. Ej: asesor’as,
empresas de prevenci—n de riesgos laborales, empresas de mantenimiento
inform‡tico, aut—nomos colaboradores, empresa de env’o de cartas o publicidad,
etc.
ANEXO 7. ENCARGADOS DE TRATAMIENTO: Datos de las
empresas Encargadas de Tratamiento que prestan servicios al Responsable de
Tratamiento, con indicaci—n del tipo de servicios que presta, el acceso que
tienen a los equipos de la empresa, y la manera en que se produce la
comunicaci—n de datos.
ANEXO 8. PRESTACION DE SERVICIOS SIN ACCESO A DATOS: Documento que
deber‡ completar y firmar el Responsable de Tratamiento, con los datos de la
persona/empresa que les preste algœn tipo de servicios, y que potencialmente
pueda tener acceso a sus ficheros, aunque no sea objeto de su actividad. Ej:
empleada de limpieza.
ANEXO 9. AUTORIZACIONES: Modelo de gu’a que
deber‡ tener el Responsable del Tratamiento, con los datos de las
personas/trabajadores autorizadas para tener acceso a los ficheros, con una
breve descripci—n del tipo de tratamiento que se les autoriza a realizar. Dicha
informaci—n deber‡ permanecer actualizada.
á
EJEMPLO: Ofrecemos un ejemplo de
c—mo deber’a completarse esta tabla de autorizaciones.
ANEXO 10. MANUAL DE FUNCIONES Y OBLIGACIONES DEL
PERSONAL: Aparecen descritas a modo informativo, las obligaciones del
Responsable de Seguridad, Administrador de Sistema, y Usuarios del Sistema, de
acuerdo con las exigencias legales para cada una de estas figuras, y la
responsabilidad de cada uno de ellos con respecto a los ficheros que tratan por
raz—n de sus actividades dentro de la empresa.
ANEXO 11. RELACION DE USUARIOS DE LOS SISTEMAS DE
INFORMACION: De acuerdo con la informaci—n proporcionada por el Responsable del
Tratamiento, confeccionamos un listado de trabajadores, personal administrativo
y directivo, con acceso a datos de car‡cter personal, con especificaci—n de los
ficheros a los que tiene acceso cada uno.
ANEXO 12. GESTION DE INCIDENCIAS: Modelo de
seguimiento de posibles incidencias que puedan ocurrir en la empresa, con
respecto a los ficheros de datos personales. Dicho cuadro deber‡ mantenerse
actualizado por la empresa/ Responsable de Tratamiento, con control de las
situaciones que puedan afectar de algœn modo los ficheros.
á
EJEMPLO: Ofrecemos un ejemplo de
c—mo deber’a completar la empresa este cuadro, con indicaci—n del tipo de
incidencia, fecha de ocurrencia, persona que realizan la notificaci—n y
posibles efectos que puedan producirse.
á
CATALOGO DE
POSIBLES INCIDENCIAS: Listado ejemplificativo de posibles incidencias
que pueden ocurrir en la empresa, de modo que corra peligro la seguridad de los
datos objetos del tratamiento.
ANEXO
13. GESTION DE SOPORTES: Es un inventario de todos los soportes que tiene
la empresa/ Responsable de Tratamiento, en los que se almacenan datos
personales. Ej: USB, Disco Duro Externo, CD, DVD, etc. Esta informaci—n
debe permanecer actualizada por la
empresa.
á
EJEMPLO: Ofrecemos un
ejemplo de c—mo se debe completar esta tabla por el Responsable de Tratamiento.
á
REGISTRO Y
AUTORIZACION DE ENTRADA Y SALIDA DE SOPORTES: El Responsable de
Tratamiento debe llevar un control de los soportes en los que entran a la
empresa datos personales, con una descripci—n del tipo de soporte, finalidad,
origen, destino, persona autorizada para manipularlo dentro de la empresa.
á
SALIDA DE SOPORTES: Este modelo
tiene la finalidad de controlar la informaci—n que sale de la empresa en
soportes f’sicos, que ser‡n descritos igualmente con finalidad, origen,
destino, persona autorizada para manipularlo.
á
EJEMPLO DE
REGISTROS Y AUTORIZACION DE ENTRADA Y SALIDA DE SOPORTES: Ofrecemos un
ejemplo de c—mo deben completarse estos cuadros, que igualmente deber‡n
mantenerse actualizados por el Responsable de Tratamiento.
ANEXO
14. PROCEDIMIENTO DE RESPALDO Y RECUPERACION: Descripci—n de la Copia
de Seguridad que se realiza, con detalle de periodicidad en que se realiza,
soporte en que se almacena y el lugar donde se guarda dicho soporte.
ANEXO 15. IDENTIFICACION DEL RESPONSABLE DE
SEGURIDAD: El Responsable de Seguridad
es la persona encargada de velar por el cumplimiento de las medidas, reglas y
normas de seguridad establecidas por el Responsable del Fichero; en la mayor’a
de los casos, se trata del personal de los departamentos de
sistemas/inform‡tica, por contar con conocimientos tŽcnicos que deber‡n ser
complementados con un conocimiento espec’fico en materia de Protecci—n de Datos
de Car‡cter Personal. A partir del Nivel Medio es obligatorio el nombramiento
de un Responsable de Seguridad.
ANEXO 16. CONTROLES PERIODICOS DE VERIFICACION: La legislaci—n
vigente establece que el tratamiento de datos personales efectuado por el
Responsable de Tratamiento, se someter‡ a una auditor’a al menos, cada dos
a–os. Dichos controles tienen el objetivo de verificar el cumplimiento de la
legislaci—n y de los procedimientos e instrucciones vigentes en materia de
seguridad de datos, as’ como dictaminar sobre el grado de adecuaci—n y
cumplimiento de las medidas de seguridad, identificar sus deficiencias y
proponer las medidas correctoras necesarias. Es por ello que ofrecemos en este
Anexo un modelo de control para cada tipo de fichero (automatizado/no
automatizado), y para cada Nivel (B‡sico, Medio, Alto).
á
EJEMPLO: Ofrecemos un
ejemplo de las posibles anomal’as detectadas por una Auditoria, con la
correspondiente medida correctora orientada.
á
CATALOGO DE
CONCEPTOS VERIFICABLES: Lista ejemplificativa de posibles cuestiones a
comprobar por una Auditoria, en cada control peri—dico de verificaci—n.
ANEXO
17. EJERCICIO DE DERECHOS: Ponemos a disposici—n de la empresa/Responsable
de Tratamiento, modelos de Cartas que pueden ser utilizadas por titulares de
datos personales que consideren vulnerado alguno de sus derechos por parte de
la empresa/Responsable de Tratamiento (Acceso, Rectificaci—n, Cancelaci—n,
Oposici—n); as’ como modelos de respuesta por parte de la empresa/Responsable
de Tratamiento ante la posible reclamaci—n de los titulares.
á
Modelo de Denuncia por vulneraci—n de derechos,
ante la Agencia de Protecci—n de Datos.
á
Protocolo de Ejercicio de Derechos: Definici—n y
descripci—n de los Derechos ARCO, segœn la normativa vigente.
Anexo 18. CALIDAD DE LOS DATOS: De acuerdo con
la normativa vigente, se describe este principio, para conocimiento del
Responsable del Tratamiento quien deber‡ implementar las medidas necesarias
para la observancia del estricto cumplimiento del mismo.
CLçUSULAS DE
INFORMACIîN Y CONSENTIMIENTO
Adem‡s del Documento de
Seguridad, confeccionamos y personalizamos de acuerdo con la actividad de la
empresa/ Responsable de Tratamiento, CLAUSULAS PARA LA EMPRESA y CLAUSULAS PARA
INTERNET, las cuales grabamos en formato editable, en CD que acompa–a al
Documento de Seguridad, que se
entrega a los clientes.
1.
CLçUSULAS PARA LA
EMPRESA
a)
Cl‡usula
autorizaci—n para la recuperaci—n de datos
Es la cl‡usula a
travŽs de la cual el Responsable del Fichero autoriza a la persona encargada de
recuperar toda aquella informaci—n perdida o destruida a travŽs de las copias
de seguridad realizadas.
La persona
encargada de desarrollar este procedimiento se obliga asimismo a adoptar todas
las medidas de seguridad aplicables al respecto.
b)
Cl‡usula
autorizaci—n para el tratamiento fuera de los locales
A travŽs de la
presente cl‡usula el Responsable del Fichero autoriza el tratamiento de datos
de car‡cter personal fuera de los locales.
La persona que
realiza el tratamiento referido en el p‡rrafo anterior se obliga asimismo a
adoptar las medidas de seguridad aplicables al respecto.
c)
Cl‡usula
Informativa de Protecci—n de Datos de Car‡cter Personal
A travŽs de esta cl‡usula
se cumple con la obligaci—n de informar a todas aquellas personas de las que se
recaban datos de car‡cter personal establecida en el art’culo 5 de la LOPD.
Es una cl‡usula genŽrica
que se puede utilizar en todos aquellos casos para los cuales no haya una cl‡usula
espec’fica al respecto.
d)
Cl‡usula
Informativa del Fichero de Videovigilancia
Se cumple de este
modo con las obligaciones informativas en la recogida de im‡genes a travŽs de
c‡maras de videovigilancia.
Los carteles deben estar en lugar visibles en las zonas o ‡reas
videovigiladas.
Asimismo el
folleto informativo debe estar a disposici—n de cualquier persona que lo
solicite.
e)
Cl‡usula
Informativa para Clientes
Con esta cl‡usula
se cumple con la obligaci—n de informar a todos aquellos clientes con los que
se tenga una relaci—n comercial del tratamiento que se va a realizar de sus
datos de car‡cter personal.
f)
Cl‡usula
Informativa para contactos
A travŽs de esta cl‡usula
los contactos nos autorizan expresamente al tratamiento de sus datos de
car‡cter personal para las finalidades establecidas.
g)
Cl‡usula
Informativa para el fichero Curricula Vitarum
Con esta cl‡usula
nos autorizan al tratamiento de sus datos de car‡cter personal para la
participaci—n en los procesos de selecci—n que se mencionen as’ como para
cederlos a las entidades que se especifiquen.
h)
Cl‡usula
Informativa para potenciales clientes
A travŽs de esta
cl‡usula los potenciales clientes, con los que todav’a no tenemos una relaci—n
comercial, nos prestan su consentimiento para recabar y tratar sus datos para
las finalidades previstas.
i)
Cl‡usula
Informativa para Proveedores
En este caso se cumple con
la obligaci—n informativa con respecto a los Proveedores.
j)
Informaci—n a los
Trabajadores
En esta cl‡usula
se cumple con la obligaci—n de informar a los trabajadores sobre el tratamiento
que se va a realizar de sus datos de car‡cter personal.
No obstante lo
establecido en el p‡rrafo anterior los trabajadores se obligan asimismo a
cumplir con las medidas de seguridad necesarias para el tratamiento de datos de
car‡cter personal que realicen en el desempe–o de su puesto de trabajo.
2.
CLAUSULAS PARA
INTERNET
En cuanto a las P‡ginas
Web debemos tener en cuenta las siguientes consideraciones:
I.
P‡ginas Web a
travŽs de las cuales se pueden recabar datos de car‡cter personal (ej: apartado de
contacto/consulta; contrataci—n electr—nica)
En este supuesto
ser‡ necesario colgar tanto el Aviso Legal con Protecci—n de Datos como la
Pol’tica de Privacidad al final de la P‡gina de Inicio, a travŽs de los
siguientes links: Aviso Legal y Pol’tica de Privacidad.
Por otro lado
tanto en el apartado de contacto/consulta como en el que se pueda realizar una
contrataci—n electr—nica, deber‡ aparecer, para poder realizar dichas acciones,
una casilla a marcar con la siguiente coletilla: ( ) He le’do y acepto los
tŽrminos y condiciones establecidos tanto en el Aviso Legal como en la Pol’tica
de Privacidad (las palabras subrayadas, Aviso Legal y Pol’tica de
Privacidad, deber‡n ser links
a travŽs de los cuales se despliegue el texto jur’dico de los mismos).
II.
P‡ginas Web
meramente informativas
En las P‡ginas Web
meramente informativas (no se recaban datos de car‡cter personal) deber‡
aparecer œnica y exclusivamente el Aviso Legal sin Protecci—n de datos, y todo
ello, para cumplir con las obligaciones informativas establecidas en el
art’culo 10 de la Ley de Servicios de la Sociedad de la Informaci—n.
APLICACIîN DE LA
LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACION
1.
OBJETO DEL INFORME
El presente informe tiene como objeto establecer de
forma genŽrica las obligaciones recogidas
por la normativa en materia de Protecci—n de Datos de car‡cter personal
(LO 15/1999 de 13 diciembre y RD 1720/2007 de 21 de diciembre), la Ley de
Servicios de la Sociedad de la Informaci—n (LSSI), as’ como en otras
disposiciones complementarias, relativas a la protecci—n jur’dica de las
P‡ginas Web y de las Comunicaciones Comerciales Electr—nicas.
2.
LEGISLACIîN
APLICABLE
á
Ley 34/2002 de 11 de julio, de Servicios de la
Sociedad de la Informaci—n y de Comercio Electr—nico (LSSI)
á
Ley 56/2007, de 28 de diciembre, de Medidas de
Impulso de la Sociedad de la Informaci—n
á
Ley Org‡nica 15/1999, de 13 de diciembre de
Protecci—n de Datos de Car‡cter Personal
á
Real Decreto 1720/2007, de 21 de diciembre, de
desarrollo de la LOPD
á
Real Decreto Legislativo 1/1996, de 12 de abril,
por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual
(TRLPI)
á
Ley 59/2003, de 19 de diciembre, de firma
electr—nica
á
Otras disposiciones: LOCM (Comercio Minorista; LGT (Ley
General de Telecomunicaciones); TRLGDCU (Consumidores y Usuarios).
3.
DEFINICIONES
(ANEXO LSSI)
á
ÒServicios de la
Sociedad de la Informaci—nÓ o ÒserviciosÓ:
todo servicio prestado normalmente a t’tulo oneroso, a distancia, por v’a
electr—nica y a petici—n individual del destinatario.
El concepto de servicio de la sociedad de la informaci—n comprende
tambiŽn los servicios no remunerados por sus destinatarios, en la medida en que
constituyan una actividad econ—mica para el prestador de servicios
El apartado a) del anexo establece adem‡s una lista ejemplificativa de
posibles supuestos de servicios de la sociedad de la informaci—n.
á
ÒServicio de
Intermediaci—nÓ: servicio de la sociedad de la informaci—n por el que se facilita la
prestaci—n o utilizaci—n de otros servicios de la sociedad de la informaci—n o
el acceso a la informaci—n.
Son
servicios de intermediaci—n la provisi—n de servicios de acceso a Internet, la
transmisi—n de datos por redes de telecomunicaciones, la realizaci—n de copia
temporal de las p‡ginas de Internet solicitadas por los usuarios, el
alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y
la provisi—n de instrumentos de bœsqueda, acceso y recopilaci—n de datos o de
enlaces a otros sitios de Internet.
á
ÒPrestador de
ServiciosÓ o ÒprestadorÓ: persona
f’sica o jur’dica que proporciona un servicio de la sociedad de la informaci—n.
á
ÒDestinatario del
ServicioÓ o ÒDestinatarioÓ: personal
f’sica o jur’dica que utiliza, sea o no por motivos profesionales, un servicio
de la sociedad de la informaci—n.
á
ÒComunicaci—n
ComercialÓ: toda forma de comunicaci—n dirigida a la promoci—n, directa o indirecta,
de la imagen o de los bienes o servicios de una empresa, organizaci—n o
personal que realice una actividad comercial, industrial, artesanal o
profesional.
A
efectos de esta ley, no tendr‡n la consideraci—n de comunicaci—n comercial los
datos que permitan acceder directamente a la actividad de una persona, empresa
u organizaci—n, tales como el nombre de dominio o la direcci—n de correo
electr—nico, ni las comunicaciones relativas a los bienes, los servicios o la
imagen que se ofrezca cuando sean elaboradas por un tercero y sin
contraprestaci—n econ—mica.
4.
PROTECCIîN
JURêDICA DE LAS PAGINAS WEB (EL AVISO LEGAL)
Es fundamental a la hora
de tener una P‡gina Web, tener en cuenta las obligaciones legales establecidas
por la LSSI as’ como adoptar mecanismos jur’dicos y l—gicos para proteger los
derechos e intereses de la empresa en la Red.
La LSSI tiene por objeto la regulaci—n del rŽgimen jur’dico de los
servicios de la sociedad de la informaci—n y de la contrataci—n por v’a
electr—nica, en lo referente a las obligaciones de los prestadores de
servicios, incluidos los que actœen como intermediarios en la transmisi—n de
contenidos por las redes de telecomunicaciones, las comunicaciones comerciales
por v’a electr—nica, la informaci—n previa y posterior a la celebraci—n de
contratos electr—nicos, las condiciones relativas a su validez y eficacia y el
rŽgimen sancionador aplicable a los prestadores de servicios de la sociedad de
la informaci—n.
AVISO LEGAL
El ÒAviso LegalÓ
debe constar de los siguientes apartados:
I.
OBLIGACIONES
INFORMATIVAS (ART. 10 LSSI)
La LSSI establece una serie de obligaciones para
los prestadores de servicios de la sociedad de la informaci—n, entre las que se
encuentra el deber de informar, en los tŽrminos previstos en el art’culo 10 de
la misma. De conformidad con este precepto, sin perjuicio de los requisitos que
en materia de informaci—n se establecen en la normativa vigente, el prestador
de servicios de la sociedad de la informaci—n estar‡ obligado a disponer de los
medios que permitan, tanto a los destinatarios del servicio como a los —rganos
competentes, acceder por medios electr—nicos, de forma permanente, f‡cil,
directa y gratuita, a la siguiente informaci—n:
a)
Su nombre o denominaci—n social, su residencia o
domicilio o, en su defecto, la direcci—n de uno de sus establecimientos
permanentes en Espa–a; su direcci—n de correo electr—nico y cualquier otro dato
que permita establecer con Žl una comunicaci—n directa y efectiva.
b)
Los datos de inscripci—n en el Registro Mercantil
en el que, en su caso, se encuentren inscritos o de aquel otro registro pœblico
en el que lo estuvieran para la adquisici—n de personalidad jur’dica o a los
solos efectos de publicidad.
c)
En el caso de que su actividad estuviese sujeta a
un rŽgimen de autorizaci—n administrativa previa, los datos relativos a dicha
autorizaci—n y los identificativos del —rgano competente encargado de su
supervisi—n.
d)
Si ejerciese una profesi—n regulada deber‡ indicar
los datos de colegiaci—n, t’tulo acadŽmico y lugar de ejercicio.
e)
El nœmero de identificaci—n fiscal que le
corresponda.
f)
Cuando el servicio de la sociedad de la informaci—n
haga referencia a precios, se facilitar‡ informaci—n clara y exacta sobre el
precio del producto o servicio, indicando si incluye o no los impuestos
aplicables, en su caso, sobre los gastos de env’o o en su caso aquello que
dispongan las normas de las Comunidades Aut—nomas con competencias en la
materia.
g)
Los c—digos de conducta a los que, en su caso, est‡
adherido y la manera de consultarlos electr—nicamente.
II.
POLêTICA DE
ENLACES
Es importante establecer
en el ÒAviso LegalÓ tanto una pol’tica de enlaces a la P‡gina Web, como una
pol’tica de enlaces establecidos desde la P‡gina Web de nuestro cliente a
p‡ginas web de terceros con el fin de limitar las posibles responsabilidades
que pudieran derivarse de los contenidos enlazados.
Si los contenidos referidos
en el p‡rrafo anterior resultasen il’citos, deber’a procederse a su retirada
para evitar la responsabilidad derivada del art’culo 17 de la LSSI:
ÒLos prestadores de
servicios de la sociedad de la informaci—n que faciliten enlaces a otros
contenidos o incluyan en los suyos directorios o instrumentos de bœsqueda de
contenidos no ser‡n responsables por la informaci—n a la que dirijan a los
destinatarios de sus servicios, siempre que:
a)
No tengan conocimiento efectivo de que la actividad
o la informaci—n a la que remiten o recomiendan es il’cita o de que lesiona
bienes o drechos de un tercero susceptibles de indemnizaci—n, o
b)
Si lo tienen, actœen con diligencia para suprimir o
inutilizar el enlace correspondienteÓ.
Importante: El art’culo referido considera,
adem‡s, que el prestador de servicios tendr‡ conocimiento efectivo cuando un
—rgano competente haya declarado la ilicitud de los contenidos y el prestador
conociera la correspondiente resoluci—n.
III.
DERECHOS DE
PROPIEDAD INTELECTUAL E INDUSTRIAL (APLICACIîN DEL TRLPI)
El ÒAviso LegalÓ nos
permite proteger jur’dicamente, mediante la declaraci—n de reserva de derechos,
ciertos activos de la empresa frente a posibles utilizaciones de los mismos por
parte de terceros.
Las empresas suelen
proteger en este apartado sus marcas, logotipos, adem‡s de los contenidos de la
P‡gina Web (im‡genes, textos, dise–o, etcÉ).
Este apartado del ÒAviso
LegalÓ se suele utilizar como mecanismo de prueba en caso de que terceros
ajenos y no autorizados por el titular de los derechos de propiedad intelectual
y/o industrial reproduzcan, distribuyan, comuniquen pœblicamente y/o pongan a
disposici—n del pœblico los contenidos de la P‡gina Web.
IV.
LIMITACIîN DE
RESPONSABILIDADES
En este apartado
del ÒAviso LegalÓ debemos incorporar:
¤ Una serie de
limitaciones de responsabilidad sobre los posibles da–os que pueda sufrir el
usuario mientras visita la P‡gina Web derivados de virus existentes en
Internet.
¤ Menci—n a la
colaboraci—n de la empresa con las autoridades competentes frente a posibles
actuaciones il’citas o nocivas que se hayan realizado por terceros de mala fe
y/o provoquen da–os y perjuicios en nuestra p‡gina (art’culo 11 LSSI).
V.
PROTECCIîN DE
DATOS DE CARçCTER PERSONAL
Cumpliremos con las
obligaciones establecidas en la Ley Org‡nica 15/1999 de 13 de diciembre de
Protecci—n de Datos de Car‡cter Personal y con el RD 1720/2007 de 21 de
diciembre a travŽs de la figura de la ÒPol’tica de PrivacidadÓ.
Consideraciones a tener en
cuenta:
¤ Obligaciones que
en materia de Protecci—n de Datos de car‡cter personal impone tanto la LOPD
como el RDLOPD (principio de informaci—n).
¤ Uso de mecanismos
de seguimiento de la navegaci—n del usuario y obtenci—n de determinados datos
(archivos denominados comœnmente como ÒcookiesÓ).
¤ Obligaci—n de
informar al usuario de su utilizaci—n, finalidades, as’ como de los mecanismos
para poder desactivar estos archivos de su sistema/ordenador.
VI.
JURISDICCIîN Y LEY
APLICABLE
En este apartado del ÒAviso LegalÓ indicaremos quŽ concreta Ley Nacional,
Juzgados, Tribunales y/o Arbitraje ser‡ competente para dirimir las cuestiones
y diferencias que pudieran surgir en la interpretaci—n, validez, eficacia,
cumplimiento o resoluci—n del clausulado de nuestra P‡gina Web.
De esta manera limitamos las posibles responsabilidades derivadas de
actuaciones mal intencionadas de terceros, basadas en legislaciones extranjeras
que no son aplicables.
5.
COMUNICACIONES
COMERCIALES ELECTRîNICAS
I.
DEFINICIONES
¤ El ÒspamÓ es un tŽrmino perteneciente al
argot americano que sule utilizarse para designar lo que se conoce como Òcorreo
electr—nico comercial no deseadoÓ.
¤ El ÒspammingÓ consiste en la difusi—n
generalizada del mismo mensaje entre un gran nœmero de usuarios de Internet.
¤ Las comunicaciones
comerciales electr—nicas son consideradas tambiŽn como una tŽcnica de marketing
primaria y no selectiva que utiliza las direcciones electr—nicas para enviar
mensajes publicitarios.
II.
COMUNICACIONES
COMERCIALES ELECTRîNICAS. REGULACIîN JURêDICA
a)
Definici—n (Letra f ANEXO LSSI):
Se entiende por comunicaci—n comercial aquŽlla
dirigida a la promoci—n, directa o indirecta, de la imagen o de los bienes o
servicios de una empresa, organizaci—n o personal que realice una actividad
comercial, industrial, artesanal o profesional.
No obstante lo establecido en el p‡rrafo anterior
no tendr‡n la consideraci—n de comunicaciones comerciales electr—nicas los
datos que permitan acceder directamente a la actividad de una persona, empresa
u organizaci—n, tales como el nombre de dominio o la direcci—n de correo
electr—nico, ni las comunicaciones relativas a los bienes, los servicios o la
imagen que se ofrezca cuando sean elaboradas por un tercero y sin
contraprestaci—n econ—mica.
b)
Prohibiciones (Art. 20 LSSI):
La LSSI proh’be el env’o de comunicaciones comerciales
publicitarias o promocionales por correo electr—nico u otro medio
equivalente, si previamente no se ha contado con el consentimiento expreso de
los destinatarios, salvo que exista una relaci—n contractual previa entre el
emisor y el receptor de la comunicaci—n y su env’o se relacionase con productos
o servicios de la empresa similares a los que inicialmente fueron objeto de
contrataci—n con el cliente.
El prestador de servicios de comunicaciones comerciales por v’a
electr—nica deber‡ ofrecer en todo caso al destinatario de las mismas la
posibilidad de oponerse al tratamiento de sus datos con fines promocionales
mediante un procedimiento sencillo y gratuito, tanto en el momento de la recogida
de los datos como en cada una de las comunicaciones comerciales que le dirija.
Este derecho es independiente de los previstos en la normativa en materia de
protecci—n de datos.
c)
Derechos de los destinatarios (art’culo 22 LSSI):
Asimismo la LSSI ofrece a los destinatarios la
posibilidad de revocar en cualquier momento el consentimiento prestado a la
recepci—n de dichas comunicaciones con la simple notificaci—n al remitente,
debiendo facilitarse para ello procedimientos sencillos y gratuitos e informales
de manera accesible por medios electr—nicos.
Cuando los prestadores de servicios empleen
dispositivos de almacenamiento y recuperaci—n de datos en equipos terminales
deber‡n informar a los destinatarios de manear clara y completa sobre su
utilizaci—n y finalidad, ofreciŽndoles la posibilidad de rechazar el
tratamiento de los datos mediante un procedimiento sencillo y gratuito.
d)
Informaci—n exigida (art’culo 20 LSSI):
En cumplimiento de los tŽrminos y condiciones establecidos por la LSSI
para los supuestos de env’o de publicidad por v’a electr—nica, facilitaremos al
CLIENTE toda la documentaci—n necesaria donde conste la siguiente informaci—n:
á
Datos identificativos del anunciante.
á
El car‡cter publicitario del mensaje.
á
Si se realizan ofertas, concursos o juegos
promocionales, adem‡s de lo anterior, debemos:
¤ Identificarlas
como tales.
¤ Expresar de forma
clara e inequ’voca las condiciones de participaci—n.
á
Cuando se env’en por correo electr—nico, mensajes
SMSÉ:
¤ Debemos obtener
con car‡cter previo la solicitud o autorizaci—n expresa del destinatario.
¤ Identificar el
mensaje publicitario con la palabra ÒpublicidadÓ o la abreviatura ÒpubliÓ.
¤ Establecer
procedimientos sencillos para facilitar revocaci—n del consentimiento del
usuario.
e)
Novedades del RDLOP:
á
La solicitud del consentimiento para el tratamiento
o cesi—n de los datos de facturaci—n y tr‡fico en servicios de comunicaciones
electr—nicas, o en su caso la revocaci—n de aquŽl, se someter‡ a lo establecido
en su normativa espec’fica (art. 16 RDLOPD).
á
Se
aplicar‡ de forma subsidiario a lo no establecido en la LSSI la
normativa aplicable en materia de protecci—n de datos de car‡cter personal
(LOPD y RDLOPD).
f)
Aplicaci—n subsidiaria del TRLDCU (Consumidores y
Usuarios):
á
Aplicaci—n subsidiaria del TRLDCU.
á
Las comunicaciones comerciales deben expresar
inequ’vocamente su car‡cter comercial.
6.
INFRACCIONES
La LSSI califica las infracciones de los preceptos establecidos en la
misma como muy graves, graves y leves (art. 38):
á
MUY GRAVES:
El incumplimiento de la obligaci—n de suspender la
transmisi—n, el alojamiento de datos, el acceso a la red o la presentaci—n de
cualquier otro servicio equivalente de intermediaci—n, cuando un —rgano
administrativo competente lo ordene, en virtud de lo dispuesto en el art’culo
11.
á
GRAVES:
(i)
El incumplimiento de cumplir con la obligaci—n de
informar a los destinatarios del servicio de los siguientes aspectos (art. 10.1
a y f):
¤ Su nombre o
denominaci—n social; su residencia o domicilio o, en su defecto, la direcci—n
de uno de sus establecimientos permanentes en Espa–a; su direcci—n de correo
electr—nico y cualquier otro dato que permita establecer con Žl una
comunicaci—n directa y efectiva.
¤ Cuando el servicio
de la sociedad de la informaci—n haga referencia a precios, se facilitar‡
informaci—n clara y exacta sobre el precio del producto o servicio, indicando
si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de
env’o o aquello que dispongan las normas de la Comunidades Aut—nomas con competencias
en la materia.
(ii)
Env’o masivo de comunicaciones comerciales por
correo electr—nico u otro medio de comunicaci—n electr—nica equivalente o el
env’o, en el plazo de un a–o, de m‡s de tres comunicaciones comerciales por los
medios aludidos a un mismo destinatario, cuando dichos env’os sean no
solicitados salvo relaci—n contractual previa.
(iii)
El incumplimiento significativo de la obligaci—n
del prestador de servicios establecida en relaci—n con los procedimientos para
revocar el consentimiento prestado por los destinatarios.
(iv)
El incumplimiento de lo establecido por la LSSI en
su art’culo 22.1, en relaci—n con los procedimientos para revocar el
consentimiento prestado por los destinatarios.
Las multas por infracciones graves var’an entre
30.001 euros hasta 150.000 euros (art. 39.1 letra b).
Prescripci—n: 2 a–os (art. 45 LSSI).
á
LEVES (art. 38.4 letra d LSSI):
Se consideran infracciones leves el env’o de
comunicaciones comerciales por correo electr—nico y otro medio de comunicaci—n
electr—nica equivalente cuando en dichos env’os no se cumplan los requisitos
establecidos en el art’culo 21 (env’os no solicitados salvo excepci—n legal y
medios para la revocaci—n del consentimiento) y no constituya infracci—n grave.
Por la comisi—n de infracciones leves la multa ser‡
de hasta 30.000 euros (art. 39.1 letra c de la LSSI).
Prescripci—n:
1 a–o (art. 45 LSSI)
ARTICULO
40 de la LSSI:
La cuant’a de las multas se graduar‡ atendiendo a
los siguientes criterios:
¤
La existencia de intencionalidad
¤
Plazo de tiempo durante el que se haya venido
cometiendo la infracci—n
¤
La reincidencia por comisi—n de infracciones de la
misma naturaleza, cuando as’ haya sido declarado por resoluci—n firme.