El grado de cumplimiento de protección de los datos personales varía mucho entre diferentes páginas web. Algunas organizaciones y empresas, sobre todo del sector legal o grandes multinacionales, están a la vanguardia en cuanto a compliance y han tomado medidas para adaptarse a las regulaciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 26 de abril de 2026 (“RGPD”) y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”), mientras que muchas otras, la inmensa mayoría de empresas, pueden estar en proceso de implementación o, simplemente, no cumplen con la normativa, incumplimiento que puede ser sancionado severamente.
Proyectar una buena imagen en internet requiere ser consciente de la importancia que tiene cumplir con el RGPD y LOPDGDD y poner, por tanto, atención en la redacción de la política de privacidad, política de cookies y en identificar debidamente a la empresa a través del aviso legal.
- Política de Privacidad
La política de privacidad web es uno de los textos legales que no puede faltar en tu página web. La política de privacidad es esencial en la página web puesto que permite cumplir con el deber de información que impone el artículo 13 y 14 RGPD, de manera que a través de ella se informa tanto a los usuarios de la web como a los clientes de cómo se tratan sus datos personales.
Hay determinada información que en todo caso debe reflejar la política de privacidad de una web:
- La identidad del responsable del tratamiento y sus datos de contacto y en su caso de su representante (cuando el responsable no esté establecido en la UE).
- Los datos de contacto del Delegado de Protección de Datos.
- La finalidad del tratamiento (para la que se usan los datos que se recogen a través de la página web) e información, en su caso, sobre los fines ulteriores para los que usarán los datos recogidos.
- La legitimación del tratamiento que está íntimamente ligada a la finalidad. Si la base de legitimación es el interés legítimo deberá identificarse este debidamente.
- El plazo de conservación o en su defecto los criterios para determinarlo.
- Los destinatarios de los datos o la categoría de destinatarios, indicando si el responsable va a ceder los datos a terceros o si tiene intención de realizar transferencias internacionales.
- Vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento).
- El derecho a presentar una reclamación ante una autoridad de control.
- Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.
- La existencia, en su caso, de decisiones automatizadas, incluida la elaboración de perfiles.
La política de privacidad debe ser visible en todo momento y accesible desde cualquier parte de la página web (motivo por el cual suele ponerse un enlace a la misma en la parte inferior de la web), y estar en una pestaña independiente. Adicionalmente dicha política, debe ser sencilla, redactándose de forma clara, de modo que resulte comprensible para cualquier persona física y no induzca a confusión ni anime al usuario de la web a no leerla por ser demasiada extensa.
Por otro lado, en todos los formularios de la web a través de los que se recogen datos personales, debe incluirse un enlace a la política de privacidad con una casilla que no esté pre marcada para que los usuarios puedan confirmar que han leído la política de privacidad y también con casillas adicionales en el caso de que se necesite obtener el consentimiento para determinadas finalidades del tratamiento o para la cesión de datos a terceros.
A modo de ejemplo, si vas a usar el email para la suscripción también para enviar comunicaciones comerciales, debes informar de esa finalidad y colocar la correspondiente check box para que el usuario acepte o no ese tratamiento.
- Aviso legal
Para cumplir con la LOPDGDD en una página web con fines comerciales, que incluya publicidad o que recabe datos personales es necesario incluir un aviso legal. El aviso legal permite identificar de forma sencilla a la empresa que está prestando o publicitando un producto o servicio. La información que debe proporcionarse es la que señala el artículo 10 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).
De manera resumida, el aviso legal debe contener la siguiente información:
- Nombre o razón social del titular de la web
- NIF o CIF
- Dirección
- Dirección de correo electrónico
- En su caso, datos de inscripción en el Registro Mercantil o cualquier otro registro público en el que se esté suscrito
- En su caso, datos relativos a la licencia administrativa correspondiente
- En su caso, datos del Colegio Profesional y número de colegiado
- En tienda online, información sobre precio de productos y servicios (especificando si incluyen impuestos) y gastos de envío
- En su caso, códigos de conducta a los que nos hayamos adherido
- Términos de uso de la web
En este sentido, al proporcionar esta información la empresa cumple con el principio de transparencia del RGPD, permitiendo a los usuarios de la web identificar debidamente a la empresa prestadora del servicio y conocer así quien va a gestionar y tratar sus datos personales.
- Política de cookies
Otra de las exigencias de la protección de datos en páginas web es redactar la política de cookies. El uso de cookies está autorizado por el artículo 22 LSSI, pero debe facilitarse información al usuario de la web sobre que son las cookies, las clases, funciones y finalidad de las cookies, duración, quien instala las cookies, si son propias o de terceros y como se pueden configurar o deshabilitar las cookies según el navegador que utilice el usuario.
Puesto que a través de las cookies se recaban datos personales, previamente a la instalación de las mismas es necesario que el usuario de la web preste su consentimiento. Por ello, la web debe contener un banner o ventana emergente en el que aparece:
- Un solicitud del consentimiento
- Una casilla que permite aceptar las cookies, rechazarlas o configurarlas
- Un link que ofrece las opciones de configuración y en el que solo vienen pre marcadas por defecto las cookies técnicas necesarias
La política de cookies debe aparecer en una pestaña independiente (aunque también es posible incluirla dentro de la política de privacidad) y ser accesible desde cualquier lugar de la web.
Sanciones por incumplimiento
Muchas empresas y autónomos desconocen las sanciones que pueden enfrentar por incumplir la Ley de Protección de Datos Personales, que en casos graves pueden llegar a los 20 millones de euros.
- Tipos de infracciones más comunes del RGPDG
- Infracciones leves del RGPD
- Incumplir el derecho de facilitar la información.
- Incumplir con atender las solicitudes de ejercicio de los derechos de las personas afectadas.
- No solicitar acceso a la información recopilada de los datos, como la transparencia de su uso.
- Incumplir con notificar cuando se ha realizado una rectificación, supresión o limitación del tratamiento de datos personales.
- No informar a las personas sobre a quien se ha comunicado sus datos personales.
- No comunicar a las personas afectadas una violación de seguridad de los datos que sea de alto riesgo.
- Infracciones graves del RGPD
- Tratar datos de un menor sin obtener el consentimiento requerido.
- Obstaculizar o impedir el ejercicio de derechos del interesado con sus datos personales.
- Incumplir con adopción de medidas técnicas y organizativas para el tratamiento de datos.
- Contratar a un encargado de tratamiento de datos que no cumpla las garantías adecuadas para la aplicación de medidas técnicas y organizativas.
- No establecer contratos formales de tratamiento de datos con proveedores que acceden a los datos.
- Incumplir con informar de una violación de seguridad a AEPD.
- Infracciones muy graves del RGPD
- Tratar los datos personales de forma ilícita.
- Tratar los datos sensibles sin base legal suficiente.
- Vulnerar el deber de confidencialidad de los datos personales.
- Tratamientos de datos sensibles sin consentimiento explícito.
- Que no se expresen los fines del tratamiento de los datos personales.
- Obstaculizar las tareas de supervisión de las autoridades.
- Tipos de sanciones por la RGPD y LOPDGDD de acuerdo con la infracción
Las multas de las sanciones varían según la gravedad de la infracción y pueden alcanzar cifras altas.
La normativa actual establece distintos niveles de responsabilidad para quienes realizan el procesamiento de datos personales, desde su recolección hasta su almacenamiento y uso. Por lo tanto, las sanciones del RGPD y la LOPDGDD pueden variar según si el infractor es una entidad pública, una empresa o el responsable del tratamiento.
Para determinar la cuantía de las multas, se evalúa el nivel de infracción de la persona o empresa responsable del tratamiento de datos personales.
- Sanciones que determina la RGPD:
- Multas por infracciones graves: multa de hasta 10 millones de euros o el equivalente al 2% de la facturación anual, aplicando la cuantía que resulte más alta.
- Multas por infracciones muy graves: multa de hasta 20 millones de euros o el equivalente al 4% de la facturación anual, aplicando la cuantía que resulte más alta.
- Sanciones que determina la LOPDGDD
- Multas por infracciones leves: multa de hasta 40.0000 €.
- Multas por infracciones graves: multa entre 40.001 € a 300.000 €.
- Multas por infracciones muy graves: multa entre 300.001 € a 20 millones de euros o el 4% de la facturación anual, aplicando la cuantía que sea mayor.
La mejor manera de evitar cometer infracciones y ser sancionado por el RGPD y LOPDGDD es contando con el asesoramiento de un profesional en protección de datos, para garantizar el correcto tratamiento de los datos y en caso de haber cometido alguna infracción, resolver de manera efectiva.
La presente publicación no constituye asesoramiento jurídico.
_____
¿Cómo podemos ayudarte desde LAW4DIGITAL?
En LAW4DIGITAL somos abogados especializados en negocios digitales. Prestamos asesoramiento legal integral a empresas digitales. Te ayudamos con asesoramiento legal online.
Os iremos actualizando sobre negocios digitales. En todo caso, podéis contactarnos mediante correo dirigido a hola@law4digital.com, llamando al (+34) 931 444 820 o rellenando nuestro formulario en law4digital.com.
¡Os esperamos en el próximo post!
Equipo de Law4Digital.