Cómo y dónde insertar los avisos legales en tu web (Plugins)

Sergio Cristóbal Gómez Ros Profesor Abogado especializado en protección de datos, asesorando empresas en adaptación RGPD y Certificado en DPO da estas notas importantes que hay que tener en cuenta a la hora de abrir una empresa digital:

ADAPTA TU EMPRESA AL RGPD y LOPDGG

Las nuevas tecnologías han modificado la forma tradicional de proteger los datos pasando de una normativa que restringía la circulación de los mismos, a una normativa que persigue la protección de los datos personales pero también la libre circulación de los mismos, para no impedir el desarrollo de la sociedad al restringir la actividad comercial de las empresas.

La última modificación normativa europea, es decir el RGPD nº 679/16 ha buscado una protección universal del tratamiento de los datos personales de los ciudadanos europeos, -logrando así que se sometan a la misma, las grandes empresas norteamericanas, como Google o Facebook, o de cualquier lugar del mundo-, permitiendo así un mayor control, transparencia e información a las personas europeas sobre el tratamiento de sus datos.

La normativa europea, RGPD – que ha derogado la Directiva 95/46/CE -, ha supuesto que al tratarse de un Reglamento sea posible su aplicación directa en cualquier Estado Miembro de la Unión Europea, sin necesidad de tener que esperar a la aprobación de la correspondiente normativa interna por cada uno de los países europeos. No obstante, en España el pasado mes de diciembre de 2018 se público en el BOE entrando en vigor al día siguiente de su publicación la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales –conocida como LOPDGDD nº 3/18-, que ha introducido algunas novedades como; la posibilidad de que los herederos del fallecido puedan ejercer los derechos de acceso, rectificación, cancelación o supresión de los datos del mismo – cuestión no regulada por el RGPD-; y también ha fijado en los 14 años la edad a partir de la cual no se precisa la autorización de los padres para dar el consentimiento por los menores – ya que el RGPD establecía una horquilla entre los 13 y 16 años-.

La actual normativa de protección de datos se aplicará al tratamiento de datos personales cuando estos supongan cualquier información concerniente a personas físicas identificadas o identificables (art. 5 RGPD). En consecuencia, no se aplicara la normativa cuando los datos estén anonimizados, no sea posible la identificación de la persona o se requieran esfuerzos desproporcionados para la identificación, o cuando se trate de datos de personas jurídicas (empresas, sociedades, etc.).

Las novedades que el RGPD europeo ha supuesto podrían centrarse en:

1- Obligación de elaborar un Registro de Actividades de Tratamiento de Datos, que la empresa mantendrá en su poder para poner a disposición de la AEPD cuando esta se lo requiriera. Asimismo, existirá la obligación de elaborar una Evaluación de Impacto por parte de aquellas empresas que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, y en la que se evaluará el origen de los datos, la naturaleza, la particularidad y la gravedad de dicho riesgo. Esta Evaluación de Impacto no se regulaba tampoco en la derogada LOPD.

2.- Establecer las oportunas Medidas de Seguridad Técnicas y Organizativas de los datos tratados y en función del riesgo detectado en el análisis previo realizado. El RGPD no especifica que medidas en concreto hay que aplicar, sino que estas vendrán determinadas por el estado de la técnica, los riesgos que existan para los derechos y libertades de los individuos, la naturaleza, el alcance, el contexto, los fines del tratamiento y los costes de aplicar esas medidas. La derogada LOPD distinguía entre ficheros de nivel básico, medio y alto de los datos tratados asignando unas medidas concretas para cada uno de ellos. – La AEPD ha señalado que en ciertos casos podrá seguir aplicándose las mismas medidas de seguridad que establecía el derogada normativa de la LOPD, si ofrecen un nivel adecuado de seguridad-.

3.- Mayor Transparencia informativa en el tratamiento de los datos, unida a la obtención de un Consentimiento expreso. No siendo válido el consentimiento obtenido de forma tácita-.

4.- Nuevos derechos: a los anteriores derechos ARCO (acceso, rectificación, cancelación y Oposición), se añaden el de Transparencia información, Limitación al tratamiento de los datos, el de Portabilidad y el de Supresión/Olvido. Los derechos actualmente establecidos se pueden conocer como POLIARSO.

5.- Figura del Delegado Protección de Datos (DPO o DPD), que será obligatoria para organismos públicos excepto tribunales de justicia y para los organismos privados que realicen operaciones de tratamiento que por su naturaleza, alcance o fines supongan una observación sistemática y habitual de interesados a gran escala o que las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales. El art. 34 LOPDGDD ha concretado lo establecido en el RGPD y ha fijado los casos en los que en todo caso será obligatoria dicha figura tanto para el responsable como para el encargado de los datos -ej. Colegios profesionales, centros docentes, entidades que exploten redes y presten servicios de comunicaciones electrónicas, prestadores de servicios de la sociedad de la información, cuando elaboren a gran escala perfiles de los usuarios del servicio, entidades aseguradoras, establecimientos financieros de crédito, empresas de servicios de inversión, entidades que desarrollen actividades de publicidad y prospección comercial, operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos o interactivos, quienes desempeñen actividades de Seguridad privada, centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, entre otras. El nombramiento y cese del DPO tendrá que comunicarse por el Responsable a la AEPD en el plazo de días.

¿Qué figuras intervienen en la normativa de protección de datos?:

• Responsable del Tratamiento: Es quien determina los fines y medios relacionados con el tratamiento de los datos. Es quien decide el “Por qué” y “Como”.
• Encargado del Tratamiento: Es quien trata los datos por cuenta del Responsable. Sus obligaciones deberán establecerse en el correspondiente contrato a firmar con el Responsable.
•  DPO/DPD: Profesional con conocimientos especializados en la normativa sobre protección de datos, ayudando al responsable o al encargado para adoptar las medidas de seguridad adecuadas al riesgo por el tratamiento efectuado. Puede ser empleado o, ser un servicio externo contratado por el Responsable.
• Autoridad de Control: Es la encargada de supervisar el cumplimiento y aplicación del RGPD y LOPDGDD, para proteger los derechos y libertades de las personas físicas en el tratamiento de los datos y la libre circulación de los mismos.

Que objetivos hay que lograr para cumplir con la actual normativa de protección de datos:

1- Realizar un análisis previo del tratamiento de los datos que se va a efectuar (tipo de datos a tratar, fines, alcance…), para entonces y a continuación poder elaborar el correspondiente Registro de Actividades de Tratamiento de Datos, el cual contendrá los siguientes datos: Los del Responsable y en su caso DPO/ Las categorías de interesados en tratamiento (ej. Clientes) / Las categorías de destinatarios -transferencias internacionales y/o cesiones datos- (ej. Gestoría) / Finalidad tratamiento / Plazos conservación datos / Descripción medidas técnicas y organizativas aplicadas para garantizar seguridad datos.

2- Adoptar una Responsabilidad proactiva en el tratamiento de los datos, lo que supondrá: cumplir con la normativa y demostrar que se cumple la misma. Por tanto, esta responsabilidad exige una actitud consciente, diligente y proactiva por parte de las empresas frente a todos los tratamientos de datos personales que lleven a cabo, implicando que el responsable aplique las medidas técnicas y organizativas adecuadas con la finalidad de garantizar y poder demostrar el cumplimiento de la normativa. Ejemplos de esa responsabilidad proactiva pueden indicarse: Teniendo un Registro Tratamiento datos, un DPO, una Evaluación de Impacto, la adhesión a códigos conducta o certificaciones (como ISO), protocolos de notificación y comunicación violaciones seguridad, el tener las políticas de privacidad, cookies, avisos legales, formularios debidamente actualizados, tener implantados procedimientos de revisión de los tratamientos, adoptar las medidas de seguridad oportunas para la protección de los datos tratados-.

3- Obtener el consentimiento de la persona para el tratamiento de sus datos, teniendo así la legitimación o base legal para poder tratarlos. El consentimiento podrá obtenerse cuando: a) sea manifestado por la persona mediante una declaración expresa, libre, específica, informada, inequívoca y revocable (en cualquier momento) o una acción positiva que manifieste su conformidad. No siendo validos los consentimientos tácitos ni los obtenidos a través de casillas premarcadas. b) se haya obtenido mediante la ejecución de un contrato, (Ej.: compra de algún bien o servicio). c) para cumplir una obligación legal. d) para proteger un interés vitral del interesado. e) para el cumplimiento de una misión de interés publico. f) para satisfacer un interés legitimo del Responsable, siempre que no se vulneren los derechos y libertades de las personas interesadas, pudiendo existir ese interés por rezones de libertad de expresión e información, marketing, prevención fraude, seguridad una finalidad científica, de investigación o estadística.

4- Establecer los procedimientos para cumplir con los derechos reconocidos a personas afectadas por uso de sus datos – forma fácil y gratuita -.

5.- Celebrar los oportunos contratos y su correspondiente actualización con los Encargados de los tratamientos, obteniéndose de estos las necesarias garantías a través de la adhesión de éstos por ejemplo a códigos de conducta o certificaciones.

6.- Establecer protocolos de actuación y notificación de violaciones en la seguridad de los datos. Teniendo que realizar la comunicación a la AEPD sin dilación indebida y en todo caso en el plazo máximo de 72 horas desde que se tuvo conocimiento. Debiéndose de comunicar a las personas interesadas y afectadas sin dilación indebida para el caso de que se trate de un nivel de riesgo alto. (art. 33 y 34 RGPD). Estas comunicaciones las efectuara el Responsable o, el DPO en su caso.

En cuanto al Régimen Sancionador (art. 83 RGPD y arts. 72 a 74 LOPDGDD):

– Imposición multas según RGPD en función circunstancias como: Naturaleza, Gravedad y Duración infracción, Negligencia, Medidas  adoptadas para paliar perjuicios interesados, Infracciones anteriores, Cooperación con Autoridad Control, Categoría de datos afectados, Forma que Autoridad Control conoció infracción, Adhesión a Códigos Conducta…

*Por su parte la LOPDGDD alude también a circunstancias a valorar como: Reincidencia, Beneficios comisión infracción, Conducta afectado influido en infracción, Afectación derechos de menores, Disponer de un DPO, etc.

– Graduación Multas de acuerdo con RGPD: 

>10.000.000 € como máximo o el 2% volumen negocio total anual del ejercicio financiero anterior. (Art.83.4 RGPD)

>20.000.000€ como máximo o el 4% volumen negocio total anual del ejercicio financiero anterior.- Incumplimiento resoluciones Autoridad Control,  Incumplir derecho limitación tratamiento, Olvido,…- (Art. 83.5 RGPD)

* En la graduación de las multas la LOPDGDD ha optado por mantener la anterior clasificación y distinción de las infracciones -de la derogada LOPD-, entre: Muy Graves –las recogidas en art. 83.5 RGPD, que prescriben a los 3 años-, Graves –las recogidas en el art. 83.4 RGPD, que prescriben a los dos años- y Leves –No reguladas específicamente como leves en RGPD pero si recogidas en arts. 83.4 y 5, que prescriben al año-. (Arts. 72 a 74)

*Por lo que respecta a las sanciones que se impongan a las infracciones cometidas, tenemos que prescriben en los siguientes plazos:

 a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el   plazo de un año.

b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.

c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.

Teniéndose en cuenta que el plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

En cuanto al Derecho Indemnización: (art. 82 RGPD) “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir del Responsable o el Encargado del tratamiento una indemnización por los daños y perjuicios sufridos”. 

Los elementos que debe contener nuestra Política Protección Datos, tanto física como online, son:       

-Datos Responsable Tratamiento y, del DPO en su caso.

                        -Finalidad de los datos tratados.

                        -Legitimación/Base legal del consentimiento.

                        -Plazo Conservación datos.

                        -Destinatarios de cesiones y/o transferencias datos.

                        -Derechos de los interesados.

                        -Cambios política Privacidad.

                        -Medidas Seguridad adoptadas.

Cómo y dónde insertar los avisos legales en la web

Lo que hemos visto arriba es la teoría que debes sí o sí tener en cuenta para poner en tu página pero una vez que ya tenemos estos avisos y páginas hechas es el momento de ponerlos en nuestra página, es un tema muy aburrido pero necesario y obligatorio si queremos abrir una página web sin problemas

Hay 3 tipos de avisos que debes tener en tu página, el aviso legal, el aviso de privacidad y la política de cookies. ¿Qué pasa con estos avisos? que nadie los busca pero en cambio son necesarios y obligatorios para tu web. Yo no voy a la página de Triunfa con tu WordPress para buscar el aviso legal, sino para ver los post, página de contacto etc.. , Además hay muchas partes de estos avisos que muy parecidos de unas páginas a otras, cambian partes dependiendo qué tipo de página sea, si es un ecommerce yo iría a alguien especializado a que me lo hiciese pero si es un blog simple sin mucho tráfico ni transacciones económicas igual lo pongo parecido que otros muchos… ¿Cuál es el problema de este tipo de cosas? EL CONTENIDO DUPLICADO que eso genera, ya no de una página sino de cientos de páginas que tienes aviso parecidos.

¿Cómo se soluciona eso? haciendo que Google no indexse esas páginas y eso se hace de dos formas, una a través del archivo robots.txt que lo podemos modificar desde Google Seach Console ó a través del plugin de Yoast, si tienes el plugin hacerlo desde ahí es muy fácil.

¿Qué pasos debo dar?

• Voy a la página que quiero que Google no indexe, por ejemplo aviso legal, bajo hasta la zona donde está el plugin de Yoast y vemos 3 apartados. Hacemos click en el tercero que parece una rueda y la primera opción es si queremos permitir a los motores de búsqueda mostrar la página en los resultados, decimos que no en las dos primeras opciones y cuando vamos a Google y ponemos site:mi dominio.com vamos a ver las páginas que Google tiene indexadas nuestras y esas a las que hemos dicho que Google no las indexe no deben salir en ese listado, de esta forma evitaremos el contenido duplicado.

Una vez hacemos esto para ver si google nos ha indexado o no, nos vamos a google y ponemos site:midominio.com le damos enter y nos sale un listado de todas las páginas que google tiene indexadas de nuestra web.. si lo hemos hecho bien las páginas o artículos que hemos puesto que google no indexe no aparecerán entre los resultados.

¿Dónde deben estar este tipo de avisos ?

Al ser obligatorios pero no importantes para el usuario normalmente se ponen en los pié de página o footer.

Además de estar ahí al entrar a toda página ya sea desde el móvil o desde el ordenador debemos ver un aviso que no informa de que la web trabaja con Cookies y que debemos aceptar.

Otra de las partes importantes y obligatorias en donde deben estar estos avisos legales es en todos los formularios de contacto en donde se pidan datos al usuario, página de contacto, de suscripción a la newsletter etc.. todos los formularios deben llevar un check en donde se acepten los avisos legales antes de que el formulario se envíe.

Fuera de tu web pero dentro de tu negocio si estas usando gestor de mails como mailchimp, mailpoet o el que uses es muy importante que en los emails que mandes se vea bien claro la opción de darse de baja o cancelar suscripción. ¿Cómo hacemos eso? al editar la plantilla del mail abajo te deja editar el footer o pié de página de la misma, edita todo y borra lo que no necesites pero deja y que se vea claro la opción de cancelar suscripción

¿Cómo hacemos todo esto?

El aviso que te sale de aceptar cookies hay muchos plugins para hacerlo pero yo utilizo este que es muy sencillo y ligero.

En cuanto a los avisos legales del pié de página hay varias formas de ponerlos, si tienes la opción de poner páginas en el footer es tan sencillo como poner esas páginas en el footer.

Si por el contrario no tienes opción de menú footer y quieres poner los avisos legales con el mensaje de copyright como vemos abajo, se puede hacer a través de código o con otro plugin.. en mi caso uso génesis y es muy fácil y sencillo de hacer, simplemente es meter un código de html que copias y pegas y listo…

Aquí te dejo un tutorial de este plugin para que veas lo fácil que es..

Aquí te dejo para que copies los textos legales que deberías poner tanto en el plugin para el pié de página como en el formulario que ahora en el video verás lo sencillo que es..

El primero es para el pié de página y check de los formularios y el segundo para los formularios.

Entiendo y acepto el <a href=’https://wpcartagena.org/aviso-legal’ target=’blank’> Aviso legal ,</a> <a href=’https://wpcartagena.org/privacy-policy’ target=’blank’> Política de Privacidad</a> y la  <a href=’https://wpcartagena.org/politica-de-cookies’ target=’blank’> Política de Cookies</a>

<FONT SIZE=2><strong>Responsables:</strong> Pepe Segura, Diego López y Miriam Olivares (gestión WordPress Cartagena).

<strong>Finalidad:</strong> Para ponernos en contacto contigo si tienes alguna duda con el desarrollo de los eventos «Ven y pregunta» de WordPress Cartagena.

<strong>Legitimación:</strong> Tu consentimiento.

<strong>Destinatario:</strong> 2MHost, donde alojamos los emails y esta web. No lo guardaremos en una base de datos externa, solo en la base de datos de WordPress a través del plugin Gravity Forms.

<strong>Derechos:</strong> Acceso, rectificación, limitación y supresión de tus datos si nos lo pides. </FONT>

Y el resultado de poner estos código en los formularios o en el plugin de génesis simple edit para hacer los créditos y eliminar los que vienen por defecto quedaría así.