El registro de actividades de tratamiento (en sustitución al alta de ficheros en la AEPD)

ACTUALIZADO el 06 de Noviembre de 2018

 

Ya no es necesario dar de alta los ficheros en la AEPD, de hecho esta opción desapareció de la web el 14 de mayo (de 2018).

Y el motivo es que en realidad era un mecanismo que no servía para proteger realmente los datos de nuestros usuarios y clientes, y además creaba la confusión de que al realizar el alta de los ficheros ya estábamos cumpliendo la LOPD.

 

Tras la entrada en vigor del RGPD este paso se ha sustituido por el registro de actividades de tratamiento de datos.

No te preocupes, que te voy a explicar qué es  y lo que debe contener, y si estás obligado a redactarlo 😉

 

¿Quién está obligado a realizar el registro de actividades de tratamiento?

El registro tienen que realizarlo tanto el responsable del fichero (o sea tú) como el encargado del tratamiento (tus proveedores), que deberá especificar los tratamientos que gestionen por cuenta de un tercero, además de los que gestionen de forma propia.

Pero ahora no todos los responsables y encargados tienen que realizar el registro de actividades de tratamiento, pero prácticamente todos. así que no dejes de leer, que seguro que te toca hacer el registro de actividades de tratamiento.

Tienes que hacerlo si tu negocio cumple uno de estos requisitos:

  • Tienes más de 250 empleados (seguro que no es es caso de ninguno de los que leen este post).
  • El tratamiento incluye categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual).
  • Cuando se realice tratamiento de datos que puedan entrañar un riesgo para los derechos y libertades de los interesados.
  • El tratamiento de datos que se realiza se refiere a condenas o infracciones penales.
  • Cuando el tratamiento de los datos no sea ocasional, y aquí es donde vamos a estar incluidos todos los que tenemos un negocio online, así que nos toca realizarlo.

 

El último punto es el que incluye a todo negocio online, así que tenemos que hacer el registro de actividades de tratamiento.

Vamos a ver qué debe contener este registro de actividades de tratamiento, que además te va a servir de ayuda para hacer el análisis de riesgo.

 

 

Contenido del registro de actividades de tratamiento

El contenido que debe tener el registro de actividades de tratamiento viene indicado en el artículo 30 del RGPD, y es el siguiente:

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • fines del tratamiento
  • descripción de las categorías de los interesados y de las categorías de datos personales
  • categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.

 

Además, siempre que sea posible, se indicará también los plazos previstos para la supresión de datos en las diferentes categorías. Si no se puede decir un plazo en concreto, establecer el criterio que se sigue para establecerlo. Por ejemplo, en el caso de los suscriptores, hasta que revoquen su consentimiento, ya que es imposible saber el tiempo que van a estar suscritos.

En el registro de actividades de tratamiento de datos también indicaremos las medidas de seguridad que vamos a establecer en nuestro negocio para proteger los datos de los usuarios y clientes, ya que hará también la función del Documento de Seguridad.

Para poder realizar el registro de tratamiento de datos y establecer las medidas de seguridad, previamente habremos hecho un análisis de riesgo, en el que vamos a establecer las posibilidades que hay de perder los datos, que lo roben, que se eliminen…. y el riesgo que eso supondría para los usuarios.

Hay que hacer un registro de actividades de datos por cada clase de datos que se trate. Así haremos uno de suscriptores y usuarios de la web, de clientes, de proveedores,… y cada uno tendrá las medidas de seguridad necesarias.

Y no tienes que notificarlo a la Agencia Española de Protección de Datos, como pasaba antes con el alta de los ficheros. Lo que tienes es que mantenerlo actualizado, porque como ya te comentaba, es lo que te van a pedir en caso de inspección.

 

 

Formato del registro de actividades de tratamiento

Puedes hacerlo en formato papel o en formato electrónico, pero debe estar siempre actualizado y a disposición de la Autoridad de control si ésta te lo solicita.

En el caso que por el tratamiento que haces de los datos estés obligado a tener un registro de actividades de tratamiento, el hecho de no tenerlo supone una infracción grave, y mejor ni te digo la sanción porque te puede dar algo, asi que no lo dejes pasar y ponte ya a redactarlo.

Vamos, que en tu caso sería una infracción grave.

 

Este es sólo el principio para cumplir con el RGPD. Si quieres que te vaya guiando paso a paso por todo el proceso, puedes adquirir mi curso de protección de datos para negocios online.

En el curso dispondrás de la explicación para realizar estos documentos internos y de plantillas para hacerlas, con ejemplos incluidos.

Es muy buena opción si quieres llevar totalmente el control de la protección de datos de tu negocio, o si no tienes presupuesto para contratar a un profesional. Pero a un profesional de verdad, que hará una adaptación real, no las ofertas low cost que rondan por internet y que al final no te librarán de una sanción económica.

Aunque luego delegues esta parte de tu negocio, es importante que conozcas cómo debes gestionar los datos de tu negocio.

 

¿Tienes ya redactado los documentos legales de tu negocio online? ¿Conocías esta nueva obligación del RGPD?

Te espero en los comentarios para poder resolver tus dudas.

 

 

No olvides compartir este contenido en tus redes sociales para que vaya creciendo la comunidad interesada en la legalidad online.

Cómo adaptar tu negocio online al RGPD

Si tienes un negocio online muy probablemente no estés cumpliendo con la normativa legal, bien por desconocimiento o bien porque pienses que no te va a pasar nada, pero las cosas están cambiando, y en materia de protección de datos, la Unión Europea ha armonizado la normativa entre todos los países, y te recomiendo (quien advierte no es traidor), que desde el 25 de mayo de 2018 desde cumplir  el RGPD, pues cada vez hay más conciencia en la protección de los datos, tanto por parte del Gobierno como de los usuarios y las sanciones son más cuantiosas y probables que suceden, más aún porque ahora el usuario puede pedir una indemnización .

Así que para que puedas dormir tranquilo y no tener que pagar sanciones de hasta 4 millones de euros, no te vayas y sigue leyendo, porque voy a explicarte cómo adaptar tu negocio online al RGPD.

Tranquilidad, que es más fácil de lo que parece.

 

¿Debo cumplir con el RGPD si no gano nada con mi negocio?

No hay día que no reciba esta consulta en mi email, algo muy comprensible, pues es difícil imaginar que si tu negocio no está siendo aún monetizado, o lo que tienes es un blog personal que no monetizas, tengas que cumplir con la ley. Nuestra mentalidad suele asociar cumplir con la ley, a tener un negocio o a ganar dinero.

Pero para que puedas entenderlo mejor, la ley de protección de datos, lo que protege son los datos de los particulares, sin importar quién los recopile, es decir, no importa que quien los recopiles sea un particular. De ahí que las Comunidades de Propietarios también deben cumplir esta ley, y tampoco son un negocio (no estoy hablando del Administrador de fincas, me refiero a la Comunidad en sí).

¿Y que son los datos de los particulares? Pues el nombre y el email lo son, por tanto, si tienes un formulario de contacto o de suscripción, pueden dejar comentarios en tu blog donde tú tengas acceso a su email,…. ya tienes que cumplir con la ley de protección de datos. Así que mejor que sigas leyendo, que seguro que ya te ibas a ir porque pensabas que este «rollo» no iba contigo.

Además, debes tener en cuenta que aunque tu negocio no se encuentre en un país de la Unión Europea, si tienes usuarios de estos países, igualmente tendrás que cumplir el RGPD.

 

 

Qué es el Reglamento General de Protección de Datos

Ya que sabes que debes cumplirlo, lo primero es ponernos en situación y te voy a explicar qué es el Reglamento de Protección de Datos.

Se trata de la normativa europa que regula de manera igualitaria cómo se deben tratar los datos personales, ya que no era “justo” que un negocio, por ejemplo ubicado en Alemania, pudiera tratar esos datos con más libertad que uno que se ubicara en España.

Es por ello que decidieron unificar la normativa, protegiendo aún más al usuario, dándole el control de sus datos.

Ahora lo importante es la prevención, es decir, tomar las medidas necesarias para evitar que exista fuga de datos.

 

Qué consecuencias tiene no cumplir el RGPD en tu negocio online

Pues la consecuencia más obvia es la sanción económica a la que te estás exponiendo. Ya no vamos a hablar de los 4 millones de euros, que es para grandes empresas por el volumen de datos que manejan, ¿pero qué le pasaría a tu negocio si tiene que pagar una sanción de 10.000 €? (y estoy tirado por lo bajo…).

Imagino que como mí, pues me hundiría el negocio. Y además, ahora es más fácil que te denuncien, porque el control lo tienen los usuarios, y pueden pedirte una indemnización si no cuidas sus datos. Así que ya sabes, tienes que cumplir la normativa que hay mucho oportunista, incluso tu propia competencia.

Es mejor cubrirse las espaldas.

Porque además, otra de las consecuencias de no cumplir con el RGPD es que no das una imagen profesional, y los usuarios ya se fijan mucho en cómo una empresa va a tratar sus datos. Las cosas están cambiando, porque ya conocen sus derechos el valor que tiene sus datos. Cuidalos.

 

Cómo adaptar tu negocio al RGPD paso a paso

Hay mucha información en internet sobre cómo adaptar tu negocio al RGPD, pero es muy confuso y además incompleto, por lo que al final se termina más liado de lo que se estaba.

¿Me equivoco?

Por ello te voy a indicar aquí paso a paso (y por orden de actuación) qué es lo que hay que hacer. Al fin lo vas a tener todo claro 😉

 

Análisis de riesgo

Lo primero que tenemos que hacer, unido con el paso siguiente, es un análisis de riesgo, que será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. Se analizarán cuestiones como las siguientes y cuantas más respuestas afirmativas, mayor será el riesgo que podría derivarse de dicho tratamiento. Estas podrían ser algunas cuestiones:

  • ¿Se tratan datos sensibles?
  • ¿Se incluyen datos de una gran cantidad de personas?
  • ¿Incluye el tratamiento elaboración de perfiles?
  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?

En definitiva es valorar si hay posibilidades de que esos datos se pierdan, los roben, podamos borrarlos,….

 

Registro de actividades de tratamiento de datos

Como ya te comentaba está relacionado con el anterior y consiste en especificar con todo detalle el tratamiento de datos que se va a realizar.

Es un documento interno donde se va especificar los siguientes datos:

  • Quién es el responsable y el Delegado de Protección de Datos si se requiere.
  • Qué datos se recogen, con qué finalidad, quiénes son los interesados y las categorías de datos personales.
  • A quién se va a transferir y ceder los datos.
  • Qué medidas técnicas y organizativas se van a aplicar para asegurar los datos que se tratan.

 

Es el momento de apuntar todos los proveedores/herramientas con las que trabajan y comprobar que realmente cumplen con la protección de datos. Si no es así, tenemos que cambiarlas.

Yo, por ejemplo, utilizo MailChimp para mis campañas de email marketing, y el hosting Raiola Network, porque cumplen la normativa.

Tendrás que hacer lo mismo con la plataforma donde tienes tus infoproductos,  herramienta de facturación, plugin, chat, … y por supuesto, los colaboradores con los que trabajas: asistente virtual, gestor fiscal,…

 

Medidas de seguridad

Y una vez que tenga bien claro los riesgos que existen en el tratamiento de los datos, tendrás que establecer las medidas de seguridad que vas a adoptar para que las posibilidades de que el riesgo se produzca sean las mínimas.

Irán incluidas también en el registro de actividades de tratamiento de datos, que hace las funciones del anterior Documento de Seguridad.

No olvides que esta documentación tiene que estar siempre actualizada, ya que es lo que va a solicitarle la Agencia Española de Protección de Datos en caso de inspección.

 

 

Adaptación de la web

 

Formularios de contacto, suscripción y comentarios

Seguro que es la parte que más has escuchado (incluso la única), tienes que adaptar los formularios de tu web. Tanto el formulario de contacto,  como el de suscripción y los comentarios. En definitiva, donde recopiles datos de los usuarios.

Este punto es muy importante tras la nueva normativa, pues tú eres el que debes probar que realmente te ha dado su consentimiento.

Incluye una casilla para marcar, con un enlace a la política de privacidad de tu blog/web (luego te explico esta parte). El conocido checkbox.

No olvides desmarcar la casilla, porque sino no se sería un consentimiento expreso.

Además, ahora tienes que incluir una primera capa (como ya pasaba con la política de cookies) donde vas a mostrar la información básica del tratamiento de datos. Sería algo así, pero adaptado a tu caso, claro:

Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Mayte Velasco Cañavate, con la finalidad de atender su solicitud y de enviarte mis publicaciones, promociones de productos y/o servicios, si ha marcado esta última opción.  La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podré atender su solicitud. Puedes consultar mi política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en hola@legalidadonline.com.

Los datos que me facilites serán ubicados en los servidores de Mailrelay (mi proveedor de email marketing), ubicada dentro de la UE, y cuya política de privacidad puede consultar.

Y no olvides el doble opt in, que el usuario tenga que confirmar en su email que se ha suscrito a tu blog o web.

 

Textos legales

Debes revisar tus cláusulas legales (si las tienes, si no tienes que redactarlas) para que reflejen los datos que estás recogiendo, para qué los vas a utilizar y si vas a cederlos o no a un tercero.

Tienes que identificar al responsable de la gestión de los datos (lo normal es que seas tú), y si existe, los datos del delegado de protección de datos. Igualmente tienes que indicar quienes son destinatarios de los datos: hosting que utilizas, plataforma de email marketing, servicio de captación de leads,…

Además tendrás que indicar el plazo por el que se recopilan estos datos o los criterios utilizados para fijar ese plazo. Lo que te obligará a hacer limpiezas periódicas en tus suscriptores.

Así que, se acabó el “copia y pega” de los textos legales de otras páginas que poco tienen que ver con la tuya. Cada blog tiene sus particularidades.

 

Crea políticas de privacidad que inviten a leerlas, acordes con el tono de tu #blog Clic para tuitear

 

Si cambias alguno de los proveedores, no olvides modificarlos.

Te hablo más detalladamente de este aspecto en el post de cómo hacer los textos legales de tu web.

 

 

Contratos encargados de tratamiento de datos

En el día a día de tu negocio trabajas con proveedores/colaboradores que tienen acceso a datos de tus usuario y clientes, como puede ser el webmaster, el asesor fiscal, el hosting, el proveedor de email marketing,… Y con ellos deberás firmar un acuerdo de tratamiento de datos y asegurarte que están cumpliendo con el RGPD.

Si no lo haces así, tú tampoco estarás cumpliendo con la normativa. Ahora somos responsables de elegir a los colaboradores con los que trabajamos.

La mejor manera de comprobar que cumplen la normativa, sobre todo si es una pequeña empresa, es solicitarles que incluyan el registro de tratamiento en el acuerdo que vais a firmar.

Si no tiene este registro de tratamiento, significa que no está cumpliendo la normativa.

 

No te agobies con el #RGPD, con mi curso de protección de datos te enseño paso a paso cómo adaptar tu negocio. Clic para tuitear

 

 

Conclusión

No creo que tengas ya dudas en cumplir con el RGPD. En internet te cruzas a diario con potenciales clientes, y seguro que trabajas duro para poder vivir de tu negocio online, no permitas que una sanción por no tratar correctamente los datos termine con tu sueño.

 

Y aunque te parezca muy complicado todos los pasos que te he contado, te aseguro que no lo es, es entretenido, pero estoy segura podrás hacerlo. Para ayudarte, he creado el Curso de Protección de Datos para negocios online, donde te voy guiando por todos los pasos que debes hacer para cumplir con la nueva ley de protección de datos. Incluyendo todas las plantillas que vas a necesitar para facilitarte al máximo la tarea.

 

Pero si prefieres delegar esta parte de tu negocio, también puedes contratar el servicio de Adaptación a la LOPD y a la LSSI.

 

¿Tienes ya tu negocio adaptado al RGPD? ¿Conocías todos los aspectos que debes cumplir? ¿Tienes alguna duda?

Te espero en los comentarios.

Todo lo que necesitas saber para crear una tienda online 100% legal en el 2020

El comercio electrónico está experimentando un fuerte crecimiento y cada vez se abren más tiendas online, pero la mayoría no está cumpliendo con los requisitos legales mínimos necesarios, normalmente por ser un tema que desconocen. Para que no sea tu caso, y evitarte así importantes sanciones y tener menos clientes, aquí te explico paso a paso  cómo cumplir los aspectos legales de una tienda online.

Elige el nombre de la tienda y el dominio

Y seguro que estás pensando: ¿Pero Mayte, qué tiene eso que ver con que mi tienda online sea legal? Pues mucho, porque no vale con elegir un dominio que nos guste y esté libre.

Hay que comprobar que no haya ya una marca registrada con el nombre elegido, porque aunque no tenga el dominio registrado está protegido y nos lo podría quitar e incluso pedir indemnización económica por su uso.

A parte de perder todo el trabajo que has realizado en posicionar tu tienda online.

Puedes comprobar las marcas registradas aquí para asegurarte que tu dominio no puede darte futuros problemas.

Elige tu hosting europeo

Sí el hosting que elijas también tiene que ver con la legalidad ya que entra en juego la protección de datos. Y si bien es cierto que empresas de fuera de la Unión Europea deben adaptarse para cumplir el Safe Harbor, la seguridad que ofrecen no es la misma, y a la larga siempre da problemas.

Así que mejor apostar desde un principio por la seguridad, porque además tenemos en España muy buenos proveedores de hosting y con precios muy competitivos:

Ya es cuestión de elegir el que mejor se adapte a nuestras necesidades y a nuestro bolsillo.

Incluye los textos legales

Al vender en internet tienes que cumplir con las siguientes leyes y mostrarlo en los textos legales de tu tienda online:

  • LOPD, es decir, la Ley de Protección de Datos (en breve RGPD)
  • Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico
  • Ley sobre Condiciones Generales de la Contratación
  • Ley General para la Defensa de los Consumidores y Usuarios

Para ello debes incluir los siguientes textos legales:

El aviso legal 

En este apartado es donde vas a informar a tus futuros clientes quién hay detrás de tu tienda online indicando los siguientes datos:

  • Tu nombre o denominación social y datos de contacto: domicilio, dirección de correo electrónico y cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un número de teléfono o un número de fax. Como dirección no vale un apartado postal.
  • Tu DNI o CIF de la empresa.
  • El número de registro del Registro Mercantil o del registro público en el caso que hayas registrado la empresa.
  • La autorización administrativa, si la actividad de tu tienda online requiere de una.

Debes indicar también las normas de uso y la propiedad intelectual del contenido de tu tienda online (productos, fotografías, etc…)

Siempre que incluyas los datos que te he indicado, puedes redactar el aviso legal de tu tienda online siguiendo el tono de tu marca, no es preciso que tenga un tono formal.

La política de cookies

Los cookies guardan información de lo que haces en internet, los hábitos en la red y es por ello que debes avisar de su uso y que el usuario las acepte.

Si vas a hacer anuncios de retargeting, son los culpables de que vayan persiguiendo a los usuarios que visitaron tu tienda online y se fueron sin comprar.

La información se debe dar en 2 fases:

  1. Con la ventana emergente nada más abrir tu tienda online donde vas a informar del uso de cookies, el tipo y su finalidad, y lo enlazarás con la política de cookies (que es la segunda fase)
  1. Con el texto de la política de cookies donde informarás sobre qué son las cookies, un listado de todas las que utiliza tu tienda online y cómo desactivarla, además del tipo que son (propias, de terceros, permanentes, de sesión, de análisis,…y la finalidad que tienen.

La Agencia Española de Protección de Datos ha realizado una completa Guía sobre el uso de las cookies

La política de privacidad

Es uno de los pasos para cumplir con la protección de datos en tu tienda online. Más adelante te cuento el resto de los aspectos a cumplir en esta materia.

En la política de privacidad debes informar:

  • Quién es el responsable de los datos (lo lógico es que seas tú)
  • Los terceros destinatarios de los datos
  • La plataforma de email marketing que utilizas
  • El servicios de captación de leads (por ejemplo, si utilizas Facebook Ads debes indicarlo y enlazar con su política de privacidad)
  • Indica también el plazo por el que se recopilan los datos y su finalidad.

Recuerda que no es necesario redactar este texto legal de manera formal, puedes darle el toque de la identidad de marca.

Las condiciones generales de venta

Es la parte fundamental de tu tienda online porque es un contrato con tus clientes, por lo que debes indicar todos los aspectos para cubrirte las espaldas. Es un contrato de adhesión.

Además, de esta forma también le estarás dando más confianza al posible cliente.

No olvides indicar claramente estos datos:

  • El tipo de producto que vendes
  • En qué moneda se indican los precios y si incluye el IVA o no
  • Cómo se realiza el envío y los plazos de entrega. Así como el coste del envío y su posible demora.

Si no se indica el plazo de entrega, tendrás que entregarlo en los 30 días siguientes a la recepción del pedido, lo que dependiendo del producto que vendas puede resultar imposible.

  • Las formas de pago (no se le puede cobrar un extra por elegir una u otra forma de pago)
  • Las garantías. Recuerda que por ley son 2 años.
  • Y las posibles formas de devolución del producto y las causas.

No hay que olvidar que el comprador puede desistir del contrato de compra dentro del plazo de 14 días contados desde la fecha de recepción del producto (exceptuando los productos de uso inmediato, que no podrán ser devueltos).

Si no especificas este punto, el cliente tendrá 12 meses para devolver su compra. ¿Una locura, verdad?

Pero tranquilo/a, que hay excepciones al derecho de desistimiento del cliente:

  • Los servicios desde el momento en que han sido completamente prestado.
  • Productos claramente personalizados al cliente
  • Productos que se deterioren o caduquen rápidamente
  • Programas informáticos, músicas, vídeos que estén precintados
  • Prensa y revistas
  • Infoproductos

Es recomendable que no copies estos textos, hazte los tuyos propios, porque demás de ayudarte con el SEO, te evitas problemas, como por ejemplo, tener que afrontar una política de devoluciones que te resultará imposible porque has copiado las de ZARA (lo que ya le pasó al propietario de una tienda online mucho más modesta).

Pasos para cumplir con la protección de datos en una tienda online

Este aspecto es ya de vital importancia, y más aún con la próxima entrada en vigor del RGPD, que regula esta materia a nivel europeo.

Y si tienes una tienda online debes cumplir la protección de datos sí o sí porque estás manejando datos de suscriptores, proveedores, clientes, etc. Así que paso a indicarte qué es lo que debes hacer para cumplir este punto:

Nivel de seguridad a aplicar

A no ser que por los productos de tu empresa conozcas datos especialmente sensibles de tus clientes como su ideología, vida sexual, etc… el nivel de protección que tendrás que aplicar es el básico.

Alta de ficheros en la Agencia Española de Protección de Datos

Ahora que ya sabes el nivel de protección a aplicar, debes dar de alta los ficheros en la Agencia Española de Protección de Datos, un fichero por cada grupo de datos que manejes: suscriptores, clientes, proveedores, etc.

Aquí te explicado cómo dar de alta un fichero en la AEPD.

Redactar el Documento de Seguridad

Sería como un manual interno en el que se recoge el procedimiento a seguir para la protección de los datos que trata la empresa. En él debes incluir todo el proceso a seguir, los datos que manejas, las incidencias, etc.

No lo dejes, porque en caso de inspección es lo primero que te van a pedir. La AEPD ha creado una plantilla donde te explica paso a paso cómo crear tu Documento de seguridad.

Redactar contratos de encargados de tratamiento de datos

El responsable del fichero eres tú, y como tal tendrás que firmar acuerdos de confidencialidad con los proveedores que tengan acceso a tus datos:

  • Gestos fiscal
  • Proveedor de hosting
  • Proveedor de email marketing
  • El webmaster
  • La empresa de mensajería

De esta forma, si ellos no actúan correctamente, la responsabilidad (y la multa) cae sobre ellos, no sobre ti.

Recabar el consentimiento expreso

Es preciso tener un consentimiento expreso de los usuarios, por lo tanto, en todas las sesiones de tu tienda online donde recopiles datos de los usuarios y clientes, debes incluir un checkbox (sin marcar previamente) para que acepten el tratamiento de datos. No olvides poner un enlace a la política de privacidad.

Respetar la propiedad intelectual e industrial

Tu tienda online debe respetar el derecho de autor de terceros, es por ello que las imágenes que utilices deben ser propias o tener la autorización por escrito para utilizarlas. Si para la venta de productos dispones de las fotografías de tu proveedor, debes tener su autorización para poderlas usar en la web.

También el contenido debe ser propio, sin copiar, ya no sólo por evitar  problemas legales, sino porque afecta al SEO de tu tienda online.

El proceso de venta

Debes ir guiando al usuario en todo el proceso de ventas, y es preciso que previamente a la compra acepte las condiciones de venta a través de check.

Una vez que formalice la compra tienes que enviarle una confirmación de la misma por email junto con el albarán de lo que ha comprado.

Fiscalidad

Una vez que tienes la tienda online totalmente montada es hora de darse de alta como autónomo/a si aún no lo eres. La venta online tiene la misma fiscalidad que si vendieras en una tienda física, por tanto debes declarar los ingresos que tengas desde el primer euro de venta.

  • Tienda online complementaria a una tienda física: Si ya vendes offline, pero te has decidido vender también en el mundo online, lo único que debes hacer es darte de alta en un nuevo epígrafe del Impuesto de Actividades Económicas (ampliar los puntos que indicaste en el modelo 036).

 

  • Nueva actividad: Deberás realizar los trámites que realiza cualquier negocio que comienza. Es decir, darte de alta como autónomo y realizar el alta censal en Hacienda con el modelo 036 (para autónomos) o el modelo 037 (en caso de sociedad o empresa).

Una vez que has iniciado el negocio de tu tienda online tendrás las siguientes obligaciones fiscales:

  • Presentar trimestralmente modelo 303 en el que declaras las compras y ventas en España
  • Presentar trimestralmente el modelo 349 para declarar las compras y ventas en la Unión Europea
  • Presentación trimestral del modelo 130 para los pagos anticipados del IRPF
  • Declaración de la renta anual (modelo 100)

Si vas a vender productos fuera del territorio español, lo mejor es darse alta en el registro de operadores de IVA intercomunitarios.

Además debes tener en cuenta en qué país se encuentra el cliente que realiza la compra porque de ello dependerá si tienes que aplicarle IVA en su factura, y cuál es el porcentaje de IVA a aplicar.

Y tienes que tener un control de todas las transacciones realizadas y emitir factura simplificada (si no supera los 400 €) de cada una de ellas.

Pero no te marees, sé que es una locura, pero siempre hay soluciones para todo. En estos casos es imprescindible contar con una herramienta online que va a hacer automáticamente todo este trabajo por ti.

Es el caso de Quaderno y de Quipu, las cuales te simplifican todo el proceso. En el blog te hablaré de cada una de ellas para que puedas elegir cuál es la que mejor se adapta a tus necesidades.

Quipu, programa de facturación online

Estos son todos los aspectos legales que debes cumplir. Hacienda ya le ha echado el ojo a las tiendas online y a los beneficios que genera, así que no dejes de cumplir todos los aspectos legales, sobre todo los fiscales.

¿Tu tienda online cumple con todos los aspectos legales que te he indicado?

Cómo tener un blog legal

Las nuevas tecnologías han hecho que sea más fácil emprender de manera online y con más libertad de horarios (yo soy un ejemplo). Pero es raro encontrarse con un blog o web que cumple con todos los aspectos legales que requiere la legislación española. Y eso supone estar enfrentándose a importantes sanciones económicas que van a destruir tu sueño de tener un mayor calidad de vida viviendo de tu pasión.

Pero la información al respecto es prácticamente inexistente o muy dispersa y confusa, por lo que aquí te voy a explicar de manera ordenada y en un idioma inteligible, qué aspectos legales debe cumplir tu blog.

¿Estás preparado/a? Pues muy atento a lo que voy indicarte y ve apuntándote lo que no estás cumpliendo y ponte una fecha tope para hacerlo.

Ojo, si tu blog es exclusivamente personal también hay aspectos legales que debes cumplir.

 

Cuidado al elegir el nombre de tu blog y el dominio

Comenzando por el principio, como debe ser, lo primero que tienes que tener en cuenta es el nombre y dominio que eliges para tu blog.

Seguro que ahora mismo estás extrañado/a, pero es así, ya que debes cuidar que no entre en conflicto con una marca ya registrada (a nivel mundial), pues si crea confusión puedes perder el dominio y con ello todo el trabajo realizado.

En el momento que una marca demande tu dominio lo bloquearán hasta que exista una resolución.

Puedes comprobar las marcas registradas aquí para asegurarte que tu dominio no puede darte futuros problemas.

Así que ya sabes, una vez que hayas elegido el nombre de tu blog, no olvides registrarlo como marca.

 

¿Por qué debes tener tu blog en un hosting y dominio propio?

Pues la razón principal es porque no eres el propietario del blog, a diferencia de lo que puedas pensar, el propietario es el servicio que te ofrece el hacer el blog, o sea, WordPress o Blogger.

Puede que creas que eso no es importante, pero todo lo contrario, porque si mañana ese servicio cierra o simplemente decide que tu blog no les gusta, podrán cerrártelo y perderás todo el trabajo que hayas acumulado durante el tiempo que hayas tenido el blog.

Eso es lo que le pasó al blog de Diario de una Novia, antes alojado en laguiribelga.wordpress.com. De la noche a la mañana le habían cerrado el blog al considerar que infringía los términos del servicio.

 

 

Imagínate lo que sintió al ver este mensaje cuando fue a comprobar que su último post se había publicado correctamente. A mí me hubiese dado algo, ¿y a ti? Ella misma lo contó en uno de sus post.

Por suerte, ella pudo recuperarlo, pero en muchos casos no es así, y supone muchísimo trabajo perdido.

 

Pero no es la única razón por la que necesitas un hosting y dominio propio:

  • Va a ser difícil monetizarlo, pues no permiten enlaces de afiliados y la publicidad que muestran en tu blog la controla WordPress o Blogger, y los beneficios son para ellos, no para ti. Es por lo que cerraron el blog a Diario de una Novia.
  • Vas a disponer de unas plantillas muy básicas que todos tienen, por lo que tu blog no tendrá una imagen atractiva, que atraiga a más lectores.
  • En el caso de WordPress no podrás utilizar plugins (Blogger no tiene), por lo que no podrás añadir funcionalidades. Y te aseguro que hay plugins realmente muy buenos, y que además son gratuitos.
  • No tienen soporte al cliente, cualquier problema te lo tienes que resolver tú solito o solita.
  • No va a ser lo óptimo para tu estrategia SEO, ya que Google sólo tiene en consideración a aquellas web serias y dignas de confianza, y eso lo da un hosting y un dominio propio.

 

Mi recomendación

Es que elijas un hosting europeo para que la protección de datos no te de dolores de cabeza, ya que así te aseguras que lo está cumpliendo.

Además en España muy buenos proveedores de hosting y con precios muy competitivos:

Ya es cuestión de elegir el que mejor se adapte a nuestras necesidades y a nuestro bolsillo.

 

Incluye los textos legales en tu blog

Seguro que ya lo sabes, tienes que incluir los textos legales para tener un blog legal, pero aun así la mayoría sigue sin incluirlos. Y eso supone exponerse a importantes sanciones económicas.

Te cuanto cuáles son y cuándo debes poner cada uno:

 

El aviso legal 

Debes incluirlo en tu blog siempre que consigas algún rendimiento económico, aunque sea una cantidad pequeña, bien mediante Google Adsense, programa de afiliados, venta de infoproductos, etc.

Es donde vas a informar quién hay detrás de tu blog y cuáles son las normas de uso del mismo.

La política de cookies

Las cookies guardan información de lo que haces en internet, los hábitos de la red y es por ello que debes avisar de uso y pedir el consentimiento previo para su instalación.

Y este aviso se debe hacer en 2 fases:

  1. Con la ventana emergente nada más abrir tu blog donde vas a informar del uso de cookies, el tipo y su finalidad, y lo enlazarás con la política de cookies (que es la segunda fase)
  1. Con el texto de la política de cookies donde informarás sobre qué son las cookies, un listado de todas las que utiliza tu blog y cómo desactivarla, además del tipo que son (propias, de terceros, permanentes, de sesión, de análisis,…y la finalidad que tienen.

La Agencia Española de Protección de Datos ha realizado una completa Guía sobre el uso de las cookies

La política de privacidad

Forma parte del cumplimiento de la protección de datos de tu blog, y es donde debes informar a tus usuarios sobre el respeto y protección que tienes de sus datos. Por lo que vas a informar:

  • Quién es el responsable de los datos (lo lógico es que seas tú)
  • Los terceros destinatarios de los datos
  • La plataforma de email marketing que utilizas
  • El servicios de captación de leads (por ejemplo, si utilizas Facebook Ads debes indicarlo y enlazar con su política de privacidad)
  • Indica también el plazo por el que se recopilan los datos y su finalidad.

Recuerda que no es necesario redactar este texto legal de manera formal, puedes darle el toque de la identidad de marca.

Es recomendable que no copies estos textos, hazte los tuyos propios, porque demás de ayudarte con el SEO, te evitas problemas, como por ejemplo, tener que afrontar una política de devoluciones que te resultará imposible porque has copiado las de ZARA (lo que ya le pasó al propietario de una tienda online mucho más modesta).

Pero para que tengas una guía, en el lateral de esta página tienes un regalito que espero que te sea de gran ayuda 😉

 

 

Pasos para cumplir con la protección de datos en un blog

Este aspecto es ya de vital importancia, y más aún con la próxima entrada en vigor del RGPD, que regula esta materia a nivel europeo.

Y si tienes un blog, aunque sea personal, lo más lógico es que tengas que cumplir la ley de protección de datos porque seguro que estás manejando datos, aunque lo desconoces.

Y para que no te lleves sorpresas desagradables, te aviso que si tienes un formulario de contacto, pueden dejar comentario en tu blog, pueden suscribirse a tu newsletter,… y debes cumplir con la protección de datos.

Y no importa que tu blog sea exclusivamente personal, que no sea un negocio, que no lo monetices. Si manejas datos, debes protegerlos.

Así que paso a indicarte qué es lo que debes hacer para cumplir este punto:

 

Análisis de riesgo y nivel de seguridad a aplicar

Lo primero que tendrás que ver es el riesgos que corren los datos que recoges de sel filtrados y si se tratan de datos sensibles o no (teniendo un blog no manejarás datos sensibles).

Para ellos tendrás que hacer un análsiis de riesgo donde especificarás el tipo de datos que tratas y la posibilidad de que se filtren o pierdan, estableciendo de este modo las medidas de seguridad necesarias para evitar que eso suceda.

Redactar el Documento de Seguridad

Se trata de valorar el tipo de información que gestionas, analizar el flujo de datos, detectar los puntos críticos y reforzar la seguridad interna de tu negocio.

No lo dejes, porque en caso de inspección es lo primero que te van a pedir. La AEPD ha creado una plantilla donde te explica paso a paso cómo crear tu Documento de seguridad.

 

Redactar contratos de encargados de tratamiento de datos

Si tienes una persona que te lleva los asuntos de tu blog, un informático que te arregla el ordenador cuando se te estropea y tienes contratado un hosting,… tienes que realizar un contrato con ellos para que cumplan con la LOPD y de ese modo tú cubrirte las espaldas si ellos comenten alguna infracción con tus datos.

 

Recabar el consentimiento expreso

Es preciso tener un consentimiento expreso de los usuarios, por lo tanto, tienes que incluir en tu blog un mecanismo de confirmación, que luego puedas tener como prueba.

Incluye un checkbox (sin marcar previamente) para que acepten el tratamiento de datos en todos los formularios. No olvidando enlazarlo con la política de privacidad.

En el curso de protección de datos para negocios online te explico paso a paso cómo cumplir con la LOPD/RGPD en tu blog. Podrás hacer todo un DIY.

 

Respetar la propiedad intelectual e industrial

Uso de imágenes en tu blog

Aunque la fotografía la hayas encontrado en google, no está libre de derechos de autor y te expones a recibir la comunicación de un despacho de abogados reclamándotela pago de una factura emitida por su uso, cuya cuantía dependerá del tiempo que lo hayas tenido en tu blog, sin importar la visibilidad online que tengas.

Por tanto, utiliza imágenes propias o acude a un banco de imágenes de confianza.

Rubén Alonso tiene un artículo muy útil donde nos indica los bancos de imágenes gratis para nuestro blog o web

Yo suelo utilizar pixabay (gratuita) o DepositPhotos (de pago).

 

Protege el contenido de tu blog

Aunque se dan muchos casos que lo hacen, no permitas que tu trabajo sea copiado. Protege tus textos utilizando un registro público o un registro privado, y si copian tu trabajo, ponte en contacto con el responsable de la web para que retire el contenido, y si no lo hacen, no dudes demandar.

 

Inspírate, pero no copies el contenido de otros

Evidentemente, si no pueden copiarte, no puedes copiar. Crea tu propio contenido porque puedes encontrarte con una demanda, además afectará al SEO de tu blog o web. Hay herramientas que detentan estos plagios, ya te indicaré cuales son en otro artículo.

 

Ser autónomo o no, esa es la cuestión

Es la gran duda que se tiene en el momento que se empieza a monetizar un blog, sobre todo cuando se está ganando unos 50 € al mes pero vas a tener que pagar de autónomo más de 250 € mensuales.

Existe el rumor que si no llegas al Salario Mínimo Interprofesional no tienes que darte de alta como autónomo. Te voy a dar una alegría: Es cierto!, pero…

Es una sentencia del Tribunal Supremo que aún no se ha llevado a la  normativa, por lo que podrían multarte, pero en el juicio te serviría como argumento y ganarías.

Te recomiendo que no esperes a darte de alta como autónomo hasta que no obtengas el Salario Mínimo Interprofesional. Hazlo antes.

Y aunque no te des de alta en la Seguridad Social como autónomo, sí lo tendrás que hacer en Hacienda (modelo 036) para ir pagando el IVA.

Si vas a vender infoproductos fuera del territorio español, lo mejor es darse alta en el registro de operadores de IVA intercomunitarios.

Además debes tener en cuenta en qué país se encuentra el cliente que realiza la compra de tu infoproducto, porque de ello dependerá si tienes que aplicarle IVA en su factura, y cuál es el porcentaje de IVA a aplicar.

Y tienes que tener un control de todas las transacciones realizadas y emitir factura simplificada (si no supera los 400 €) de cada una de ellas.

A partir de ahí tendrás las siguientes obligaciones fiscales:

  • Presentar trimestralmente modelo 303 en el que declaras las compras y ventas en España
  • Presentar trimestralmente el modelo 349 para declarar las compras y ventas en la Unión Europea
  • Presentación trimestral del modelo 130 para los pagos anticipados del IRPF (cuando ya seas autónomo)
  • Declaración de la renta anual (modelo 100)

Pero no te marees, sé que es una locura, pero siempre hay soluciones para todo. En estos casos es imprescindible contar con una herramienta online que va a hacer automáticamente todo este trabajo por ti.

Es el caso de Quaderno, la cual te simplifica todo el proceso.

 

 

La responsabilidad del blogger

Y por último no puedes olvidar que el blog es un medio público, y tienes que tener cuidado de las acciones que realizas en él.

Creo que no es necesario decirlo, pero por si acaso:

  • no amenaces en tus post. Es un delito penal tipificado en el art. 169 CP.
  • Si vas a escribir un post criticando a alguien, tienes que medir muy bien lo que escribes, porque podrías estar cometiendo un delito de injurias (art. 208 y ss CP) o de calumina (art. 205 y ss CP). Además, al estar realizándolo de manera público tendría una pena mayor.

Y por supuesto, no te olvides de cumplir con la Ley de Seguridad Ciudadana (Ley Mordaza). Nada de alterar gravemente la paz pública a través de internet, ni publicar fotografías de policías que supongan un “peligro para su seguridad personal o familiar”.

En relación a los comentarios que dejan en tu blog tienes que tener en cuenta los artículos 13 a 17 de la Ley de Servicios de la Sociedad de la Información y del Comercio Electríonico (LSSI), en los que se establece el régimen de responsabilidad de los prestadores de servicios de la sociedad de la información.

Nosotros seríamos “proveedores de contenido” (art. 16 LSSI), por lo que en un principio no seríamos responsables, pero como tenemos la dirección, el control y la autoridad del mismo, decidiendo lo que se publica o no se publica, entraríamos dentro del art. 16.2 LSSI, por lo que sí somos responsables de los comentarios que realicen los usuarios en nuestro blog.

Mi recomendación es que moderes los comentarios, que no se publiquen en tu blog hasta que tú los apruebes, y advierte en el aviso legal de manera clara qué comentarios no están permitidos.

Y estos son todos los aspectos legales que debes cumplir. ¿Tampoco ha sido para tanto, no? Es más sencillo de lo que parece, sólo nos tomará un poco de tiempo.

 

 ¿Conocías los aspectos legales que debe cumplir tu blog? ¿Cumples ya alguno de ellos?

¡NO TE VAYAS AÚN!

Recibe GRATIS la Guía Legal donde te explico todos los aspectos legales que debes cumplir en tu negocio online.