Agencia LOPD

Aviso legal web y cumplimiento LOPD

 1. Aviso legal web

El aviso legal es el documento que recoge las cuestiones que la Ley de Servicios de la Información –LSSI en adelante- obliga a incluir prácticamente en todas las webs, concretamente en aquellos “prestadores de servicios de la sociedad de la información”, es decir personas físicas o jurídicas, que realicen actividades económicas por internet u otros medios telemáticos siempre que la dirección y gestión de su negocio esté centralizada en España o posea una sucursal, oficina o cualquier otro tipo de establecimiento permanente situado en España.

Afinando un poco más con carácter particular debes tener un aviso legal en tu web si te encuentras en alguna de estas circunstancias.

  1. Web corporativa de una empresa.
  2. Tienda ecommerce.
  3. Autónomo con una web corporativa independientemente de si es usada como página informativa sobre sus negocios o como tienda online.
  4. Blog particular si incluye publicidad.

Contenido obligatorio

En primer lugar indicar que el acceso al aviso legal debe ser siempre por medios electrónicos de una forma “permanente, fácil, directa y gratuita”, es decir siempre visible por parte del usuario. En este sentido muchas webs lo colocan en el footer.El contenido obligatorio viene recogido en el artículo 10 de la LSSI.

  1. Nombre o denominación social.
  2. Residencia, domicilio o dirección de uno de los establecimientos permanentes en España.
  3. Dirección de correo electrónico u otra forma de contacto directa y efectiva con el titular de la web.
  4. Datos de inscripción en el Registro Mercantil u otro registro público en el que deban estar inscritos para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
  5. En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
  6. Si ejerce una profesión regulada:
    1. Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
    2. El título académico oficial o profesional con el que cuente.
    3. El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
    4. Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
    5. Número de identificación fiscal del titular de la web (NIF o CIF).
    6. Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío o en su caso aquello que dispongan las normas de las Comunidades Autónomas con competencias en la materia.


Códigos de conducta a los que, en su caso, nos encontremos adheridos y la manera de consultarlos electrónicamente.

Propiedad intelectual e industrial

Este punto aclara los derechos de los contenidos mostrados en la web, indicando el propietario de los mismos y el uso que cede. Por contenido se entiende el texto, imágenes, animaciones, bases de datos, programas informáticos y demás elementos gráficos o sonoros de la web. La utilización de los contenidos propios por parte de terceros deberá ir acordes con la estrategia empresarial y los intereses comerciales de nuestra web. Puede ser que al autor le compense que su contenido sea compartido siempre y cuando se cite al autor –y se enlace-.

Además de propiedad intelectual e industrial, se debería incluir otro contenido como:

  1. Ley aplicable y jurisdicción para la resolución de controversias o cuestiones relacionadas con la web
  2. Responsabilidad del titular ante caídas del servicio, mal funcionamiento o links externos.

Nota: A partir del 1 de abril de 2012 es de obligado cumplimiento avisar previamente sobre las cookies existentes en la web al usuario, para que éste acepte su uso o lo rechace. Podéis consultar este artículo al respecto.

2. Condiciones generales de venta o condiciones de contratación

Si el sitio web ofrece al usuario algún tipo de herramienta, asesoramiento o comercio electrónico, deberá mostrar obligatoriamente unas Condiciones Generales de la Contratación y/o del Uso, así como cumplir determinados requerimientos en el proceso de contratación.

Se deberá incluir, si es posible antes del inicio del proceso de compra, las condiciones generales de venta. De este modo, el usuario antes de empezar a comprar ha leído su contenido.

Deberá constar de:

  1. Información clara y detallada de los precios de compra, con mención expresa de si incluyen los impuestos correspondientes y gastos de envío. De no ser así se deberá decir a cuánto ascienden estos.
  2. Descripción del proceso de compra.
  3. Obligaciones tanto para el vendedor y el comprador.
  4. Condiciones de la compra, cuales son los plazos, la forma de entrega, la forma de pago…
  5. Soluciones en el caso de que el pedido sea defectuoso.
  6. Idioma en el que se va a celebrar el contrato.
  7. Información posterior a la compra, la LSSICE obliga a confirmar al comprador la realización de la operación, puede ser expuesta por dos vías:
  • Mediante correo electrónico remitido en un máximo de 24 horas después de la realización de la compra.
  • Mediante una pantalla de confirmación que aparezca cuando se haya finalizado el proceso de compra.

3. Cumplimiento de la LOPD y creación de la Política de privacidad

Todas las webs que recojan datos personales de sus usuarios o clientes están obligados a cumplir la Ley Orgánica de protección de datos. La política de protección de datos personales, informa a los usuarios del procedimiento llevado a cabo por la organización para recoger los datos personales, permitiendo ver a éstos el uso que se les da, y las opciones que tienen las organizaciones respecto a su recogida.Hay que remarcar que el email de cada usuario es un dato personal, por ello para el uso de newsletter debemos previamente cumplir con la LOPD.

Esto conlleva una serie de obligaciones:

  1. Elaboración de una política de privacidad que se incluya en los formularios de recogida de datos con carácter previo.
  2. Inscripción de los ficheros en el Registro General de la Protección de Datos con carácter previo.
  3. Elaboración de un documento de seguridad.
  4. Auditorias periódicas del cumplimiento de la normativa y de las medidas de seguridad implantadas.

Elaboración de una política de privacidad

Será aceptada por los usuarios de manera previa en los formularios de recogida de datos, y deberán de ser informados de manera inequívoca, según el artículo 5 de la LOPD:

  1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Inscripción del fichero

Un fichero es según el artículo 5 del reglamento de desarrollo de la LOPD: “Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”.

Para facilitar a los responsables de ficheros con datos de carácter personal cumplir con la obligación que la LOPD establece de notificar sus ficheros, la AEPD creó el sistema de notificaciones telemáticas NOTA, accesible de forma gratuita desde su web. David Bonilla te explica en su Blog como cumplimentar el NOTA.

Los niveles de seguridad del Fichero

Las medidas de seguridad y el nivel de obligaciones del fichero depende de los datos personales almacenados, es por ello por lo que es importante plantearse en primer lugar que información vamos a solicitar a nuestros usuarios. Puede ser superior el coste de implementación y mantenimiento del nivel de seguridad al beneficio de poseer dicha información.

Es el reglamento de desarrollo de la LOPD, el Real Decreto 1720/2007, el que describe los tres niveles en los que se clasifican los ficheros.

Los tres niveles de seguridad en función de la información solicitada.

Todos los ficheros, por el mero hecho de contener información de carácter personal, le corresponde al menos el nivel básico, debiendo aplicar a su responsable unas mínimas medidas, que identificaremos más adelante.

Confiere el nivel medio a aquellos ficheros que, además de contener información personal básica, incluyen alguno de estos tipos de datos:

  1. Información sobre infracciones administrativas o penales.
  2. Los datos que hagan alusiones a la situación patrimonial o de crédito de las personas físicas, entre ellos por ejemplo los registros de impagados a los que acuden las entidades bancarias para conceder o denegar un préstamo o crédito en función del scoring asignado al solicitante.
  3. Los datos que posean las Administraciones tributarias de cada uno de los contribuyentes.
  4. Los datos que posean las entidades financieras y bancarias sobre sus clientes.
  5. Los datos que posean las entidades gestoras dela Seguridad Social sobre los cotizantes y perceptores de prestaciones y subsidios, así como los que traten las mutuas de accidentes de trabajo y enfermedades profesional asociados a la Seguridad Social.
  6. Y por último los datos que siendo combinados por el responsable del tratamiento puedan formar una idea de la personalidad y del comportamiento de los afectados.

Estableciendo unas medidas más rigurosas, encuadra en el nivel alto a aquellos tipos de datos relativos a:

  1. Ideología.
  2. Afiliación sindical.
  3. Religión y creencias.
  4. Origen racial.
  5. Salud y vida sexual.

Medidas de seguridad aplicables a cada nivel

En el caso del nivel básico de seguridad:

  1. Implantación de un procedimiento de notificación de incidencias para que el personal que gestiona la web o comunidad pueda reportar los incidentes que pudieran afectar a los datos de carácter personal custodiados.
  2. Mantenimiento de una relación actualizada de todos los usuarios que administran la web, y por tanto acceden a los datos de carácter personal en ella alojados.
  3. El sistema de validación que empleemos para acceder a la web o comunidad como usuarios administrador forzará el cambio de contraseña, como mínimo una vez al año.
  4. Implementación de un sistema de copia de seguridad y restauración, que se salvaguardará los datos con una periodicidad mínima semanal -salvo que en ese periodo no se hayan producido cambios sobre los datos.

Si nuestro fichero da el salto al nivel medio, tendremos que aplicar las siguientes medidas de seguridad:

  1. Se deberá asignar formalmente un responsable de Seguridad que vele por la aplicación continuada de las medidas de seguridad correspondientes a este nivel.
  2. Se realizará una auditoria interna, o externa, cada dos años, que determinará la correcta aplicación de las medidas en el periodo de tiempo auditado.
  3. Si los datos personales son objeto de trasiego en soportes físicos deberemos implementar un sistema de control de dichos soportes que permita conocer la fecha, hora destinatario y tipo de información que contiene, así como el responsable de la salida de la información, que deberá tener la autorización suficiente para ello.
  4. Se implementará un sistema que evite el acceso fallido y reiterado al sistema de información. Se trata del acceso de los usuarios que administran los datos personales alojados en la web, y no de los propios usuarios finales.
  5. El servidor que aloja la página web se ubicará en una dependencia cerrada y restringida exclusivamente a aquellas personas que estén identificadas en el documento de seguridad.
  6. Al registro de notificación de incidencias descrito en las medidas aplicables al nivel básico se le añaden aquí todas aquellas contingencias que impliquen la aplicación del procedimiento de restauración o recuperación de datos por una pérdida de información. Indicando quién ha restaurado la información, qué datos se han restaurado, y si ha sido necesaria la introducción manual de información.

En el caso de información de grado alto aplicaríamos las siguientes medidas de seguridad:

  1. Las copias de seguridad deberá ser albergadas en una dependencia distinta de donde se ubiquen los servidores que alojan el sitio web.
  2. Se registrará en un log cada acceso a los datos existentes en el fichero. Este registro, que mantendrá la información de accesos de los últimos dos años contendrá el nombre de usuario que accede a los datos, la fecha, la hora, el tipo de acceso realizado y si el acceso ha sido autorizado o denegado
  3. Se exige que las comunicaciones electrónicas por la red que incluyan datos de nivel alto solo puedan transmitirse si se han cifrado previamente o si se han encapsulado de tal manera que no puedan ser interceptadas por terceras personas.

Elaboración de un documento de seguridad

El Real Decreto 1720/2007 se especifica, entre otras medidas, la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

El documento deberá contener, como mínimo, los siguientes aspectos:

  1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  2. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
  3. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
  4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  5. Procedimiento de notificación, gestión y respuesta ante las incidencias.
  6. Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
  7. Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
  8. Las auditorías periódicas.

El Real Decreto 1720/2007 indica en su artículo 96, que a partir del nivel medio se someterán al menos cada dos años a una auditoria interna o externa. Con carácter extraordinario deberá realizarse siempre una auditoria cuando se realicen modificaciones sustanciales.

El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

Con esta información se procederá a la redacción del informe, que deberá dictaminar sobre:

  1. Adecuación de las medidas y controles establecidas a lo dispuesto en el Título VIII del Reglamento.
  2. Identificación de deficiencias y propuesta de medidas correctoras o complementarias. Incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
  3. Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas.
  4. Deberá quedar a disposición de la Agencia Española de Protección de Dato
Inicio Aviso Legal y Política de Privacidad

Redes sociales

Calle Practicante Ignacio Rodríguez

Edificio Polivalente II Campus Universitario de Tafira 35017

Tlf: +34 928 35 46 68

Horario: 9:00 - 17:00

Esta web hace uso de Cookies. Para su correcto funcionamiento debería aceptar la utilización de los mismos. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlos, consulte nuestra política de privacidad.

Acepto las cookies de este sitio.