Sobre la página web corporativa y su adaptación normativa: lo que hay que saber
INTRODUCCIÓN
La página web corporativa de una compañía constituye su mejor carta de presentación, por lo que termina siendo la mayor evidencia sobre si una empresa se encuentra o no adaptada a la normativa en materia de protección de datos personales.
En este sentido, el hecho de adaptar la página web de nuestra compañía a la normativa en materia de protección de datos no sólo constituye una actuación dentro del cauce legal establecido, sino que otorga a nuestra compañía un valor añadido en cuanto al tratamiento de los datos personales que en ella efectuamos, lo que cada vez viene siendo más valorado por parte de nuestros clientes. Para adaptar a la normativa vigente nuestra página web debemos de atender, principalmente, a tres regulaciones:
• El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [RGPD].
• La Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales [LOPDGDD].
• La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico [LSSICE].
En consecuencia, en lo que a la normativa en materia de protección de datos se refiere [RGPD y LOPDGDD], toda página web corporativa deberá incluir en ella las siguientes previsiones:
• AVISO LEGAL: dicho texto tiene como objetivo identificar el titular del dominio web y responsable del tratamiento de los datos personales que en ella se efectúe.
• POLÍTICA DE PRIVACIDAD: en este segundo texto normativo se recoge la política seguida por la compañía en materia de protección de datos, política que, en todo caso, debe incluir los siguientes ítems: la identificación del responsable del tratamiento de datos, los fines y legitimación del tratamiento, el tratamiento de datos especialmente protegidos [categorías especiales de datos], los criterios de conservación de datos, las posibles comunicaciones y/o cesiones de datos a terceros, las posibles transferencias internacionales de datos, la posible ejecución de decisiones automatizadas, incluida la elaboración de perfiles, así como los derechos que asisten a los usuarios y los datos de contacto donde poder dirigirse a la hora de ejercer dichos derechos.
• POLÍTICA DE COOKIES: según la normativa de la UE, las cookies que requieren el consentimiento informado por parte de los usuarios son las cookies de carácter analítico, las de carácter publicitario y las de afiliación, esto es, aquellas que tienen como finalidad el análisis de los servicios prestados y la ejecución de publicidad relacionada con las preferencias de los usuarios a partir de la elaboración de un perfil de los hábitos de navegación [páginas web visitadas], quedando exceptuadas de requerir consentimiento las de carácter técnico y las necesarias para el correcto funcionamiento del sitio web o la prestación de los servicios expresamente solicitados por el usuario.
En este contexto, el texto normativo que regule la política de cookies de nuestra compañía deberá recoger la definición de cookie y el tipo de cookies que existen, las cookies utilizadas en nuestro sitio web [con identificación del nombre, tipo, propiedad, finalidad y plazo], así como el modo de configurarlas desde los navegadores más comunes, incluyendo el mecanismo de eliminación de las cookies del dispositivo, la forma de ajustar la configuración de privacidad y cookies en el navegador, así como la posibilidad de bloquearlas.
En referencia con este extremo, el texto normativo sobre la política de cookies deberá ir precedido de un banner o pop-up previo sobre la advertencia del uso de cookies propias y de terceros que posibilite la «aceptación» o «rechazo» de las cookies por parte del usuario web, evitando la fórmula «aceptar todo», banner que deberá permanecer visible hasta que el usuario web haya aceptado o rechazado la instalación de las cookies. En este sentido, el banner o pop-up deberá incluir un enlace a la política de cookies, siendo necesario que el usuario pueda disponer en todo momento de la posibilidad de activar y desactivar las cookies, así como de la posibilidad de continuar navegando [esto es, acceder al sitio web y a sus funciones] a pesar de no haber autorizado el uso de cookies mediante la opción «rechazar» [salvo las estrictamente necesarias que no requieran de consentimiento previo], pues de lo contrario estaríamos limitando el derecho del usuario web a prestar libremente su consentimiento.
Uno de los aspectos más importantes en la aceptación de la instalación de cookies es el relativo al correcto registro de dichas aceptaciones, de tal modo que nos permita acreditar las mismas ante el propio usuario web o ante la AEPD en caso de que nos sea requerido, pues de nada nos servirá solicitar adecuadamente el consentimiento del usuario si no podemos acreditarlo.
EL TRATAMIENTO DE DATOS PERSONALES A TRAVÉS DE LA WEB CORPORATIVA
Asimismo, si nuestra página web no se limita a ser una web de carácter visual, sino que ofrece la posibilidad a los usuarios de efectuar, a través de ella, el tratamiento de sus datos personales, mediante mecanismos tales como un formulario de contacto, un formulario de quejas y sugerencias, un formulario de suscripción, un foro, o un acceso para el envío del currículum vitae, entre muchos otros, se deberá acreditar que el usuario, con carácter previo al envío de sus datos personales, ha prestado libre y expresamente su consentimiento para que los mismos sean tratados por parte de nuestra compañía, consentimiento que se deberá recoger junto con el texto normativo que regule el tratamiento de datos, y en el que se deberá incluir, aunque resumidamente, los extremos recogidos en la política de privacidad.
Dichos extremos deberán ser informados en cada uno de los formularios o mecanismos de recogida de datos de los que disponga nuestra página web, siempre con carácter previo a qué el usuario preste su consentimiento al tratamiento de los mismos, y mediante una acción afirmativa expresa e inequívoca [checkbox no predeterminado], posibilitando asimismo que el usuario pueda retirar el consentimiento prestado en cualquier momento.
Al igual que ocurre en el caso del consentimiento para la instalación de cookies, uno de los aspectos más importantes en la prestación del consentimiento para el tratamiento de datos a través de la página web es el correcto registro de dichos consentimientos, de tal modo que nos permita acreditar las mismas ante el propio usuario web o ante la AEPD en caso de que nos sea requerido.
Para facilitar la comprensión de las cláusulas de consentimiento para el tratamiento de datos, existe la posibilidad de utilizar el denominado «sistema de capas», por el que la cláusula de consentimiento se integra por una «primera capa» que corresponde al texto resumido de los extremos anteriormente mencionados, con un enlace al texto extensivo que regula la política de privacidad de nuestra web corporativa, denominado «segunda capa».
E-COMMERCE Y EMAIL MARKETING
Por su parte, en el supuesto que nuestra página web corporativa permita efectuar transacciones económicas mediante medios electrónicos [comercio electrónico] o efectúe operaciones de email marketing [correo electrónico comercial], la misma deberá encontrarse adaptada a las previsiones normativas de la LSSICE, por lo que deberá incluir en ella un texto con la información sobre los términos y condiciones de la contratación, que regule los siguientes extremos:
• Identificación de las personas contratantes.
• El objeto del contrato.
• El procedimiento seguido para efectuar la contratación.
• La forma de entrega del producto o de ejecución del servicio.
• El precio, la forma de pago, y los gastos de transporte, en su caso.
• La garantía asociada al producto o servicio.
• El mecanismo de devolución.
• El derecho que asiste al consumidor de desistimiento.
• El mecanismo para efectuar reclamaciones y la resolución de litigios.
• La ley aplicable al contrato y la jurisdicción.
EL TRATAMIENTO DE DATOS PERSONALES A TRAVÉS DEL CORREO ELECTRÓNICO
Muchos de los datos comunicados a través del correo electrónico se incluyen dentro de la categoría de datos de carácter personal; un claro ejemplo de ello lo constituye la recepción y tratamiento de los currículums vitae a través del correo electrónico corporativo. Es por este motivo que, al igual que ocurre en la propia web corporativa, el tratamiento de datos personales efectuado por medio del correo electrónico debe adecuarse a la normativa vigente. Para ello, el pie de los correos electrónicos debe incluir los siguientes textos:
• Un AVISO LEGAL, que permita identificar el titular del dominio del correo electrónico.
• Una CLÁUSULA DE PROTECCIÓN DE DATOS [RGPD y LOPDGDD], que identifique los extremos recogidos en la política de privacidad, así como la posibilidad de presentar una reclamación ante la autoridad de control [AEPD].
• Una CLÁUSULA DE PUBLICIDAD [LSSICE], en aquellos supuestos en que el correo electrónico sea usado con fines comerciales o publicitarios [email marketing], posibilitando un mecanismo para que el usuario pueda ejercer su derecho a dejar de recibir información comercial.
Al igual que ocurre en el caso del consentimiento de los datos a través de la página web, existe la posibilidad de utilizar el denominado «sistema de capas», por el que podemos incluir un primer texto resumido en el pie del correo electrónico, denominado «primera capa», con un enlace al texto extensivo que regula el aviso legal y la política de privacidad de nuestra web corporativa, denominado «segunda capa».
EL NIVEL DE PROTECCIÓN DE NUESTRA PÁGINA WEB
De nada sirve que efectuemos un tratamiento adecuado de los datos personales de nuestros usuarios si nuestro propio dominio web no ofrece un nivel de protección adecuado, pues dichos datos se verán expuestos al uso ilegítimo por parte de hackers y ladrones de identidad. Para evitarlo, podemos instalar en nuestra página web un Certificado SSL [secure sockets layer o capa de conexión segura] que permita la transferencia de los datos entre el navegador y el servidor web de forma cifrada, disminuyendo el riesgo de robo y la adulteración de la información transmitida por parte de hackers y ladrones de identidad. Así, la instalación de un Certificado SSL permitirá al usuario autenticar la identidad del sitio web, ofreciéndole garantías de que no se encuentra ante una web falsa, al tiempo que nos permitirá cifrar la información que es objeto de tratamiento a través del dominio web.
Más allá de la instalación de un Certificado SSL, podemos proteger nuestro dominio web mediante la ejecución de copias de respaldo, la actualización de los plugins, o la comprobación de la adaptación a la normativa por parte de los responsables de las herramientas de terceros que utiliza nuestra web.
LOS BENEFICIOS DE LA ADAPTACIÓN NORMATIVA DE NUESTRA PÁGINA WEB
Para una correcta adaptación normativa de nuestra página web, todos los textos legales, anteriormente mencionados, deberán constar por separado y encontrarse visibles en el footer [pie de la página principal] de la web corporativa, a disposición de los usuarios de manera permanente, directa y gratuita, de modo que puedan ser consultados en cualquier momento.
El hecho que nuestra página web corporativa no incluya extremos tales como el aviso legal, la política de privacidad, la política de cookies, las condiciones generales de la contratación, o el consentimiento para el tratamiento de los datos, entre otros, evidencia que nuestra compañía no se encuentra adaptada a la normativa vigente en materia de protección de datos, lo que es un claro indicio de que nos encontramos al margen de la legalidad. En consecuencia, los beneficios que supondrá la adaptación de nuestra web a la normativa vigente serán múltiples, pues no solo comportará que el tratamiento de datos personales que a través de ella efectuemos encuentre amparo legal, sino que repercutirá positivamente en nuestra imagen y reputación corporativa, pues cada vez con más frecuencia nuestros clientes y usuarios valoran que efectuemos un tratamiento correcto y seguro de sus datos personales.
