Creo que a estas alturas ya ha quedado clara la información de cumplir con el deber información del art. 5 de la LOPD, hermano gemelo del de obtener el consentimiento de quienes integran tu lista de correo, y tus ficheros en general.
© concept w – Fotolia.com
Ahora bien, puede que te surja la pregunta: “¿Cómo sé que lo estoy haciendo bien?, ¿qué debería de decir?. Pues en este caso me centraré en un componente super importante de tu blog o website: EL FORMULARIO WEB. Estoy hablando de CUALQUIER formulario para la recogida de datos de tu blog o web, no importa si el formulario de “contacto”, como si el formulario para “suscribirse” a tu Newsletter, o cualquier otro.
Siempre, y escúchame bien a o que te digo, S I E M P R E debes de incluir la información del art. 5 de la LOPD. ¿Quieres un estímulo para acordarte de esta máxima?. Pues bien, te daré uno que estimulará tu memoria: el incumplimiento de esta obligación es una infracción que como muy barato te puede costar 900 euros, y puede llegar hasta 40.000 €.
Bueno, puede que pienses que eso es para asustar, pero que ¿cómo me van a imponer una multa de 40.000 euros por no tener bien hecho el formulario de información?. Pues mira esta resolución sancionadora, (ver resolución), en la que se impone a Vodafone, (¿no tendrán ellos buenos abogados y un departamento que controle el área de LOPD?), una sanción de 35.000 euros, porque el formulario de información de LOPD no estaba conforme al art. 5 de la Ley, a juicio de la Agencia Española de Protección de Datos.
Entonces, ¿qué?, ¿te va interesando un poco más este tema?, especialmente al considerar que probablemente tengas, no sólo uno, sino varios formularios web en tu sitio. Pues vamos, allá, escúchame con atención y podrás solucionar este problema de manera fácil y sencilla, porque además de darte las claves, te voy a regalar un FORMULARIO PROFESIONAL, es decir, uno de los que yo uso en mis proyectos, con el texto que debes poner en tu formulario para que no tengas problemas. Si en el formulario te remites a la “política de privacidad”, no olvides que debe estar en un lugar visible y de fácil acceso, y puedes incluir este texto en tu apartado de la “Política de Privacidad”.
- Diferencia bien entre la parte de información y la obtención del consentimiento, (para saber más, lee “el deber de información y el constentimiento: las dos caras de una misma moneda”).
- El texto debe ser expreso, preciso e inequívoco, y debe resultar claramente legible.
- Debes incluir los siguientes apartados:
- Aviso de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- Del carácter voluntario u obligatorio de los datos solicitados o preguntas formuladas, y de las consecuencias de la negativa a suministrarlos, salvo que el contenido se deduzca claramente de la naturaleza de los datos personales que se solicitan, o de las circunstancias en las que se recaban. No obstante, lo mejor es incluirlo de cualquier manera, pues la referencia a que la deducción se produzca “claramente” es un elemento poco, o nada objetivo, que queda a la interpretación de la autoridad en materia de protección de datos, y que en caso de duda actúa bajo el lema, “sanciono y luego puedes recurrir”.
- De la posibilidad de ejercitar los derechos ARCO, (acceso, rectificación, cancelación y oposición).
- De tu identidad, como responsable de los ficheros, y tu dirección, o la de tu representante, si lo has nombrado. OJO, si no eres residente en la Unión Europea, (por ej., vives en Latinoamérica), pero recabas datos de españoles, y usas medios establecidos en territorio español, para promocionar tus servicios o productos, entonces tienes que nombrar, salvo que los medios se usen con fines de trámite exclusivamente, un representante en España.
Además, el art. 18 del Reglamento de la LOPD es LA BOMBA, porque establece que:
“el deber de información al que se refiere el artículo 5 de la LOPD, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos”.
Pues en “cristiano”, esto significa que no basta con cumplir, sino que además hay que poder demostrarlo, (ver el post “¿Porqué deberías usar el doble Opt-In?”). Así que, hay que poner mucho cuidado con esto.
Finalmente, para que ayudaros a no perderos, os acompaño el enlace en el que podréis descargaros un modelo gratuito, uno de los que yo uso en mis proyectos, de cláusula de información para formularios web.
Descargar el “Modelo de Cláusula De Información Para Formularios Web”
David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”.
[…] Según el mencionado estudio, el 27% de las webs estudiadas no hacía ninguna referencia a la información del art. 5.1 de la LOPD (la existencia del fichero, quien es titular del mismo, su finalidad…). El resto de las webs, en su mayoría, incluye un texto que PRETENDE cumplir con dicha obligación en mayor o menor medida, aunque en una alto porcentaje de manera deficiente. También es un aspecto muy fácil de cumplir, por lo que tener una web o un blog que adolezca de esta falta es más por “dejadez” o “rebeldía” que por dificultad técnica. Yo mismo he publicado en posts anteriores una plantilla de formulario web para tu sitio, que cumple al 100% con este requisito, (Puedes descargarlo en Herramientas Profesionales:La Info en Tu Formulario Web). […]
[…] También es muy interesante que este procedimiento se inició por la AEPD, por vulneración de la LOPD y la LSSI por la denuncia de un tercero, (¿un cliente descontento, o tal vez un competidor que quería quitar del camino a esta empresa que le molestaba?). El caso es que según el denunciante, en los sitios web de las entidades sancionadas no se facilitaba información sobre los dispositivos de almacenamiento y recuperación de datos (cookies), ni se solicitaba el consentimiento para su utilización, al igual que en el formulario de la sección de contacto de dichos sitios no se informa adecuadamente al usuario de la finalidad y tratamiento de sus datos. Los datos se recababan a partir de los formularios de contacto que recababan el nombre, el correo electrónico y el teléfono del interesado. (Para descargar un formulario preparado por mí en post anterior de recogida de datos adaptado a la ley, click aquí). […]
Hola David, en el caso del doble Opt-in autorrespondedores como Aweber como Getresponse lo utilizan, pero he visto que los servicios de autorresponder de España no lo usan, por los menos en Acumbamail.
Creo saber que según la LOPD dice que la base de datos donde se aloja la información debe de estar en España o territorio Unión Euopea ¿Me equivoco? Si es así entonces no es valido tener servicios de autorresponder de otros paises. ¿Conoces alguno en España que no sea Acumbamai? Gracias
Hola. Por resumir la cuestión, no hay ningún blogger de prestigio, que yo conozca, que utilice autoresponder que no sean americanos, porque sencillamente los españoles son de inferiores características, por lo que todos incumplimos ésto. Este riesgo no hay forma de quitárselo. Solo podemos MINIMIZARLO, y éso se consigue al redactar la aceptación del consentimiento, en el que el prospecto acepte la cesión de datos fuera de la UE, aunque el traslado internacional de datos seguirá siendo un problema. Pero no es lo mismo que me den un “tirón de orejas”, a que me den un palo y me dejen maltrecho, si me permites la analogía. Así que, lo importante es la planificación, para eliminar riesgos siempre que se pueda, y cuando no se pueda, manejar solamente riesgos controlados. Un abrazo. David Tierno.
[…] También es muy interesante que este procedimiento se inició por la AEPD, por vulneración de la LOPD y la LSSI por la denuncia de un tercero, (¿un cliente descontento, o tal vez un competidor que quería quitar del camino a esta empresa que le molestaba?). El caso es que según el denunciante, en los sitios web de las entidades sancionadas no se facilitaba información sobre los dispositivos de almacenamiento y recuperación de datos (cookies), ni se solicitaba el consentimiento para su utilización, al igual que en el formulario de la sección de contacto de dichos sitios no se informa adecuadamente al usuario de la finalidad y tratamiento de sus datos. Los datos se recababan a partir de los formularios de contacto que recababan el nombre, el correo electrónico y el teléfono del interesado. (Para descargar un formulario preparado por mí en post anterior de recogida de datos adaptado a la ley, click aquí). […]