La
base
sobre
la
que
se
sustenta
la
obligación
de
establecer
una
Política
de
Privacidad
en
cada
página
web
utilizada
en
España
o
con
tratamiento
de
datos
personales
de
usuarios
españoles,
reside
en
el
“Derecho
a
información
en
la
recogida
de
datos”
que
regula
el
art.
5 de
la
Ley
Orgánica
15/1999,
de
13
de
diciembre,
de
Protección
de
Datos
de
Carácter
Personal
(en
adelante,
LOPD).
A
continuación,
enumeramos
los
6
puntos
básicos
que
debe
tener
una
buena
Política
de
Privacidad,
para
que
su
página
web
cumpla
con
la
normativa
española
de
protección
de
datos.
1.-
Identificación
del
titular.
El
primer
aspecto
a
tener
en
cuenta,
y
que
debe
ser
incluido
en
cumplimiento
del
artículo
5.1
e)
de
la
LOPD,
es
identificar
al
responsable
del
tratamiento
de
los
datos
que
se
están
utilizando
a
través
de
la
web.
Es
decir,
es
necesario
incluir
la
denominación
social
y la
dirección
del
titular
del
sitio
web,
así
como
la
información
exigida
por
el
art.
10
de
la
Ley
34/2002
de
11
de
julio,
de
servicios
de
la
sociedad
de
la
información
y el
comercio
electrónico
(LSSI);
email
así
como
cualquier
otro
dato
que
permita
una
comunicación
directa
y
efectiva,
datos
de
inscripción
en
el
Registro
Mercantil,
si
se
trata
de
actividad
sujeta
a
autorización
o
colegiación
los
datos
relativos
a la
misma,
número
de
identificación
fiscal
(CIF
/NIF),
etc.
Asimismo,
el
usuario
debe
ser
informado
de
la
incorporación
de
sus
datos
a un
fichero
indicando
la
titularidad
del
mismo
y
que
él
mismo
consta
inscrito
en
el
Registro
General
de
Protección
de
Datos.
Dicho
Registro
es
gestionado
por
la
Agencia
Española
de
Protección
de
Datos
y su
consulta
es
pública
y
gratuita,
por
lo
que
su
acceso
está
a
disposición
de
todo
usuario
que
quiera
consultarlo.
2.-
Finalidades
de
los
tratamientos
de
datos
efectuados.
El
segundo
aspecto
importante,
es
la
inclusión
de
las
finalidades
del
tratamiento
de
los
datos,
o lo
que
es
lo
mismo,
¿para
qué
vamos
a
utilizar
los
datos
personales
que
nos
lleguen
a
través
de
la
web?
El
artículo
5.1
a)
de
la
LOPD
establece:
“1.
Los
interesados
a
los
que
se
soliciten
datos
personales
deberán
ser
previamente
informados
de
modo
expreso,
preciso
e
inequívoco:
a)
(…)
de
la
finalidad
de
la
recogida
de
éstos
(…)”.
El
cumplimiento
de
este
aspecto
implica
la
explicación
clara
y
exacta
de
las
finalidades
concretas
y
determinadas
de
los
datos
personales
recabados
vía
web.
Asimismo,
el
art.
45.1
b)
del
Real
Decreto
1720/2007,
de
21
de
diciembre,
por
el
que
aprueba
el
Reglamento
de
desarrollo
de
la
LOPD,
autoriza
el
envío
a
los
usuarios
web
de
comunicaciones
comerciales
informando
sobre
sus
propios
productos
o
servicios,
cuando
los
datos
de
contacto
hayan
sido
facilitados
por
los
propios
interesados
u
obtenidos
con
su
consentimiento
para
finalidades
determinadas,
explícitas
y
legítimas
relacionadas
con
la
actividad
de
la
propia
empresa.
A
continuación,
proponemos
un
ejemplo
de
“Finalidades”
para
la
Política
de
Privacidad:
La finalidad de dichos ficheros es la gestión de los usuarios del Sitio Web, así como la gestión de los servicios ofrecidos a través de dicho Sitio.
Igualmente, (la empresa) tratará los datos para gestionar las consultas que reciba de clientes y realizar envíos publicitarios y de información comercial, por diferentes medios, a los mismos, acerca de la empresa, sus actividades, productos, servicios, ofertas, promociones especiales, así como documentación de diversa naturaleza y por diferentes medios de información comercial de la empresa, pudiendo realizar valoraciones automáticas, obtención de perfiles y labores de segmentación de sus clientes, en base a la información de que disponga relativa a los mismos, al objeto de personalizar el trato conforme a sus características y/o necesidades. El tratamiento de los datos con estas finalidades se mantendrá, mientras mantenga cualquier relación negocial o contractual con (la empresa) y aún tras el cese de dichas relaciones.
No
obstante,
en
relación
con
la
finalidad
concreta
de
envío
de
comunicaciones
comerciales,
si
no
existe
una
relación
negocial
previa
con
el
usuario,
el
titular
deberá
obtener
su
consentimiento
previo
para
el
envío
de
dichas
comunicaciones.
Dicho
consentimiento
puede
ser
obtenido
a
través
del
marcaje
de
una
casilla
de
check,
junto
a la
política
de
privacidad,
donde
el
usuario
da
su
consentimiento
a
recibir
dichas
comunicaciones.
En
el
caso
de
que
los
datos
recabados
vía
web
se
realice
vía
formulario,
se
deberá
informar
si
existen
preguntas
obligatorias
de
contestar
(por
ejemplo,
con
asterisco)
para
poder
tramitar
la
solicitud
o
inscripción,
y
qué
sucede
en
caso
de
que
no
se
completen
ciertos
campos
indicados
En
el
supuesto
de
que
sean
recabados
datos
de
terceras
personas,
se
deberá
incluir
en
el
texto
de
la
Política
de
Privacidad
lo
siguiente:
En el caso de que los datos aportados pertenecieran a un tercero, Usted garantiza que ha informado a dicho tercero de los aspectos contenidos en esta Política y obtenido su autorización para facilitar sus datos a (la empresa) para los fines señalados..
3.-
Calidad
de
los
Datos.
Siguiendo
con
los
requisitos,
debemos
asegurarnos
que
los
datos
que
facilita
el
usuario
(tanto
si
son
suyos
como
si
son
de
terceros),
cumplan
con
el
principio
de
calidad
de
datos
recogido
en
el
art.
4.3
de
la
LOPD.
Así,
deberá
incluirse
en
el
texto
de
la
política
de
privacidad,
que
los
datos
de
carácter
personal
facilitados
por
el
usuario
deberán
ser
exactos
y
puestos
al
día
de
forma
que
respondan
como
veracidad
a la
situación
actual
del
afectado,
siendo
responsable
en
caso
contrario
por
facilitar
datos
inexactos.
4.-
Cesiones
y
Transferencias
Internacionales
de
Datos.
El
art.
5.1
a)
establece
la
obligación
de
informar;
“De
la
existencia
de
un
fichero
o
tratamiento
de
datos
de
carácter
personal,
de
la
finalidad
de
la
recogida
de
éstos
y de
los
destinatarios
de
la
información.”
En
relación
con
los
destinatarios
de
la
información,
deberemos
informar
expresamente
a
los
usuarios
sobre
las
cesiones
previstas
a
terceros
(comunicación
de
datos
a
terceras
entidades
para
el
cumplimiento
de
finalidades
propias
regulado
por
el
art.
11
de
la
LOPD),
debiendo
identificar,
en
la
medida
de
lo
posible,
inequívocamente
a
los
cesionarios.
Igualmente,
en
el
caso
de
que
se
prevea
la
transferencia
de
estos
datos
a
terceros
países
(regulada
en
los
arts.
33 y
34
de
la
LOPD),
deberá
informarse
a
los
usuarios
de
las
mismas,
principalmente
cuando
dichos
países
no
estén
reconocidos
como
países
que
proporcionan
una
protección
equivalente
en
materia
de
datos
personales.
5.-
Cookies.
La
normativa
reguladora
de
las
cookies,
ha
sido
incorporada
en
el
art.
22
de
la
LSSI,
que
exige
para
la
utilización
de
este
tipo
de
ficheros,
que
se
facilite
al
usuario
una
información
clara
y
completa
de
las
cookies
que
se
utilizan
en
el
sitio
web,
así
como
el
consentimiento
del
usuario
para
dicha
utilización.
La
aplicación
de
esta
normativa,
actualmente,
está
en
desarrollo,
por
lo
que
la
recomendación
es
que
toda
la
información
exigida
sobre
las
cookies
sea
incorporada
en
un
aviso
especifico
distinto
al
de
privacidad
aunque
vinculado
al
mismo,
puesto
que
la
información
recabada
por
las
cookies
puede
ser
considerada
como
datos
de
carácter
personal.
6.-
Derechos
de
los
usuarios.
ARCO
(Acceso,
rectificación,
cancelación
y
oposición).
Los
usuarios
tienen
reconocidos,
en
relación
con
el
tratamiento
de
sus
datos,
una
serie
de
derechos,
en
concreto
los
denominados
derechos
A.R.C.O.
(
Acceso,
Rectificación,
Cancelación
y
Oposición),
por
tanto,
los
titulares
del
sitio
web,
deberán
incorporar
a su
política
de
privacidad
la
información
relativa
al
posible
ejercicio
de
los
derechos
A.R.C.O.
por
parte
de
los
usuarios,
en
concreto;
mecanismos
de
ejercicio
de
derechos
(escrito
dirigido
a
domicilio
físico;
correo
electrónico,
servicio
de
atención
al
cliente,
etc…),
así
como
los
datos
concretos
de
contacto
a
los
que
los
usuarios
han
de
dirigirse
para
ejercitar
dichos
derechos.
