POLÍTICA DE PRIVACIDAD DE DATOS PARA PÁGINAS WEB

Qué es el documento de política de privacidad de datos?

El documento de Política de Privacidad y Protección de datos de una página web o tienda online contiene las normas relativas al tratamiento (recogida, gestión y retención) de datos de carácter personal. En este documento tiene que quedar claramente reflejado qué datos del usuario se está recabando, durante cuánto tiempo se guardarán y con qué finalidad se guardan los datos personales recogidos en las diferentes partes de la página web.

Es muy importante que las políticas de privacidad de nuestra página web o tienda online estén actualizadas en todo momento. Si en un futuro en nuestra web, ecommerce o empresa tenemos nuevas actividades de tratamiento de datos, deberemos de actualizar los textos para informar de la nueva actividad en la política de privacidad de datos. Eso significa que nuestro documento no podrá ser un documento estático que realizaremos una vez y nos olvidaremos de él, este deberá ser revisado y actualizado periódicamente.

El Reglamento General de Protección de Datos, comúnmente conocido por sus siglas como RGPD son un grupo de leyes y normativas que regulan el área de protección de personas físicas en relación con el tratamiento de datos personales. Estas leyes desde que se redactaron y aprobaron por primera vez, han sufrido varias modificaciones y actualizaciones por lo que nuestros documentos de la empresa y los textos legales de nuestro sitio web deben estar actualizados acorde a la normativa vigente.

Qué se considera como datos personales?

Los datos personales son cualquier información relacionada con una persona identificada o identificable, también denominada «el interesado». Ejemplos de datos personales:

• Nombre y apellidos de la persona.
• Dirección o ubicación.
• Número de documento de identidad, pasaporte, etc.
• Datos sobre los ingresos.
• Datos sobre el perfil cultural.
• Dirección IP pública.
• Datos en poder de hospitales o médicos (que identifican únicamente a una persona con fines sanitarios).

No se pueden tratar datos personales sobre:

• Origen racial o étnico.
• Orientación sexual.
• Opiniones políticas.
• Convicciones religiosas o filosóficas.
• Afiliación sindical.
• Datos genéticos, biométricos o sanitarios, salvo en casos específicos (por ejemplo, cuando se da un consentimiento explícito o cuando el tratamiento es necesario por razones de interés público esencial, sobre la base del Derecho nacional o de la UE).
• Condenas e infracciones penales, a menos que lo autorice el Derecho nacional o de la UE.

Política de privacidad para tiendas Shopify o WordPress.

De igual forma, si tu página web usa WordPress, Shopify, WooCommerce, PrestaShop, etc. el documento que regula la política de protección de datos personales es obligatorio para todas aquellas páginas web o tiendas online que recolecten datos personales de sus usuarios. Se consideran datos personales toda aquella información que haga referencia a una persona identificada o identificable (ej. nombre, dirección postal, correo electrónico, teléfono).

Si tu WordPress o tienda Shopify tiene algún tipo de formulario de contacto, o formulario de registro de usuarios, si se le pregunta en algún momento algún dato personal como por ejemplo la dirección postal para poder enviarle el producto que ha comprado o contratado, si nuestra web tiene algún tipo de script de seguimiento para el análisis del tráfico de nuestra página como por ejemplo Google Analytics, si nuestro proveedor de hosting guarda algún tipo de datos de análisis del tráfico que genera nuestra web, etc.

Únicamente puedes obviar la política de privacidad de datos si tienes un blog o una web meramente informativa, en la cual no tengas ningún tipo de formulario donde la gente escriba sus datos, ni pueda escribir comentarios, ni un sitio web donde se vendan productos ni tenga ningún tipo de script de análisis de tu audiencia.

Ejemplo de política de privacidad para páginas web

La principal condición que debe cumplir es que debemos tener un enlace a nuestra página o documento de política de privacidad y este debe estar en un lugar correctamente visible y accesible por el usuario. En los formularios de recogida de datos, ha de informarse en todo momento sobre el tratamiento de dichos datos o con un enlace a la política de privacidad dónde estarán reflejadas las finalidades de dicho tratamiento de datos.

El usuario, antes de enviar cualquier dato a través de un formulario de nuestra página web, deberá aceptar de forma activa la política de privacidad de datos. De no aceptarla, la página no dejará enviar ningún dato por el formulario al servidor o al destino por lo que ningún dato será guardado. Por defecto no podrá estar activa la opción de aceptación, debe ser el usuario el que marque la opción. Este tipo de validaciones, en páginas web comúnmente se hacen con checkbox de HTML.

La siguiente imagen es un ejemplo de un formulario que cumple con el RGPD con la verificación de lectura de la política de privacidad de datos.

Mediante los generadores disponibles en esta página web, podrás generar los documentos legales de forma fácil y sencilla mediante un pequeño formulario que adaptará las políticas a las características tu página web o tienda online.

A quién afecta el RGPD? Solo a los Europeos?

El RGPD afecta a las empresas que tratan datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, es decir, si su empresa está registrada dentro de un país de la Unión Europea (UE).

A las empresas o páginas web establecida fuera de la UE que ofrecen productos o servicios (de pago o gratuitos) u observan el comportamiento de las personas en la UE, es decir, que su público principal proviene de países Europeos.

Si tu empresa es una pequeña o mediana empresa (PYME) que trata datos personales según lo descrito arriba debe cumplir el Reglamento. Sin embargo, si el tratamiento de datos personales no constituye la parte principal de su negocio y su actividad no entraña riesgos para las personas, no estará sujeto a algunas obligaciones del RGPD como el nombramiento de un delegado de protección de datos.

Mi hosting está fuera de la Unión Europea, hay algún problema?

Un dato que muchas empresas o personas con páginas web o tiendas online pasa totalmente por alto es la ubicación de los servidores de nuestro proveedor de hosting. A la hora de contratar el hosting de nuestro sitio web, debemos tener en cuenta dónde están físicamente los servidores donde vamos a alojar nuestro sitio.

Si el servidor está ubicado físicamente fuera de la Unión Europea, la normativa aplicable a tal efecto (Ley Orgánica de Protección de Datos) técnicamente considera el tránsito de datos como una transferencia internacional, y exige que el país en el que esté físicamente el host o servidor posea un nivel de protección de datos de carácter personal equiparable al contemplado en dicha norma.

Hay que tener en cuenta que si el servidor está fuera de la Unión Europea se debe pedir el consentimiento de la transferencia de dichos datos. Es decir, si tenemos una web que ofrece unos determinados servicios o vende algún artículo debemos comunicar a los clientes que sus datos van a ser remitidos a un servidor alojado en el extranjero y obligatoriamente tenemos que solicitar su consentimiento incluyendo los detalles de la empresa de destino propietaria del servidor.

Por otro lado, hay países que tienen una relación con otros países considerados como cumplidores de dicho nivel. España por ejemplo, tiene acuerdos con (UE, Suiza, Hungría, Argentina y Brasil), con lo cual, si el lugar de destino (servidor) está en ella, no habrá ningún problema, pero si no es así, podríamos estar infringiendo la ley.

Puedo usar plantillas o copiar políticas de otros sitios web?

Es una costumbre muy extendida la de ir a una página web de un sector similar al nuestro, buscar sus políticas y copiarlas cambiado el nombre de la empresa. Esta práctica puede parecer lícita al pensar que de esa forma nuestra web ya tiene los textos legales y por ese motivo ya cumplimos con la ley, pero… Sabes si esos textos están actualizados con la ley vigente? Has revisado que la política de privacidad de datos cubra las actividades de tratamiento de tu empresa, página o tienda online? Seguro que estás cubriendo todos los apartados legales que hay en tu web o empresa?

Es por todos esos motivos y muchos más por los que copiar una política de privacidad de otro sitio web o empresa no es una buena idea. Cada página web es única y tiene unas características, una estructura, unos formularios, unas analíticas, etc. Casi al 100% seguro que si copiamos las políticas de otra página, no van a estar adaptadas a nuestro negocio o sitio web.

Aquí es donde aparecen en juego los generadores de políticas online como este. Los generadores que te ofrecemos de forma totalmente gratuita, utilizan unas plantillas actualizadas con la normativa vigente, que gracias a un formulario de datos, los textos se adaptan a las propiedades de la página web. De esa forma conseguimos cubrir nuestro negocio o sitio web con las políticas necesarias y no con textos genéricos o textos de relleno.

No todos los generadores son buenos dado que muchos de ellos tienen las leyes desactualizadas, otros usan unos textos tan genéricos que no llegan a cubrir las características de la empresa o página web. Es una práctica recomendable leer detenidamente los textos generados una vez hayamos rellenado el formulario para ver qué todo está correcto y que lo que ha creado el generador, refleja la actividad de nuestra empresa o sitio web. De no ser así, deberemos borrar o rectificar los apartados que no se adapten correctamente o consultar con algún experto legal para qué nos asesoren correctamente.

Legislación aplicable a la política de privacidad de datos

La política de privacidad y protección de datos de carácter personal debe incorporar el siguiente contenido:

• La identidad y los datos de contacto del/los responsable(s) del tratamiento de los datos personales (puede tratarse del/los titular(es) del sitio web o de personas distintas).
• En caso de haberse nombrado un Delegado de Protección de Datos (DPD), los datos de contacto del mismo. El nombramiento de un DPD es obligatorio si el responsable del tratamiento desarrolla como actividad principal el tratamiento de datos sensibles (ej. de salud, orientación política) a gran escala o la observación habitual y sistemática a gran escala de personas (ej. elaboración de perfiles); o si es una autoridad u organismo público.
• Las categorías de datos personales que serán tratados: únicamente datos identificativos (ej. nombre, apellido, número de teléfono, correo electrónico) o también datos personales sensibles o especialmente protegidos (ej. origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos de salud).
• Los fines del tratamiento a que se destinan los datos personales.
• El período de retención de los datos personales en el sitio web.
• Los destinatarios de los datos personales recogidos en el sitio web.
• La información relativa de los derechos derivados del tratamiento de los datos personales (acceso, rectificación, supresión, limitación, portabilidad y oposición).

La legislación que se le aplica a la política de privacidad de datos de carácter personal se rige por las siguientes normas:

• El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
• La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).