Como muchos os habréis empezado a dar cuenta, la gestión de un negocio por Internet o la creación de una empresa con actividades web, implica mucho más que el desarrollo y mantenimiento técnico. Existen un gran número de responsabilidades que hay que cumplir: IVA, seguridad social, hacienda y LOPD. Precisamente de nuestra experiencia con la Ley Orgánica de Protección de de datos (LOPD) y la Agencia de Protección de Datos os vamos a hablar.
En principio están obligados a registrar un fichero de datos en la AGPD:
Están obligados a notificar la creación de ficheros para su inscripción en el RGPD, de acuerdo con lo dispuesto en la Ley Orgánica 15/99, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal.
Mucha gente se pregunta sobre si esto es o no necesario. Desde luego David Maetzu lo cuenta muy bien en su artículo sobre la LOPD y bloggers:
Así el blogger que tenga publicidad, su propio servidor o el de un tercero, pero con gestión directa del sistema de contenidos, será Responsable del Fichero o tratamiento de datos (artículo 3 LOPD), lo que le hace responsable de implementar las medias previstas en la LOPD y en el RD 994/1999 de Medidas de Seguridad.
El problema radica cuando los servidores no están alojados en España. Una de las razones de nuestra migración de EEUU a Ferca, aunque los servidores fueran más lentos fue el cumplir con la LOPD. Cito de nuevo a David que lo vuelve a explicar genialmente:
Si, como es usual, el blogger no tiene el servidor en su casa o en sus propias instalaciones, el tratamiento de los datos será realizado por un tercero, en la figura que se reconoce en el artículo 12 LOPD, lo que obliga a tener un contrato escrito (o de cualquier otra forma que permita acreditar su celebración) y firmado con el tercero, el proveedor de hosting, con el siguiente contenido mínimo:
“1- Que el encargado del tratamiento unicamente tratará los datos conforme a las intrucciones del responsable.
2- Que no les aplicará un fin distinto.
3- Que no los comunicará, ni siquiera para su conservación a terceras personas.
4- Así como las medidas de seguridad que según el artículo 9 se deben implantar.”Esto obliga, además, a implementar en el sistema de comentarios los avisos pertinentes afectos de no vulnerar el derecho a la información, (artículo 5 LOPD), y disponer lo necesario para el ejercicio de los derechos del titular (artículos 15 y siguientes LOPD), declarar la existencia del fichero antes de su creación (artículo 26 LOPD).
Pero la obligación más compleja será la de solicitar al Director de la AGPD la autorización para la trasferencia internacional de datos (artículo 33 LOPD) en el caso de servidores situados en países que no proporcionen el mismo nivel de protección, como por ejemplo Estados Unidos. (Excepto los denominados puertos seguros o “Safe Harbours“), ya que por regla general los supuestos previstos de excepciones no serán de aplicación.
Lo peor de la LOPD son sin duda las altas cuantías que suponen sus sanciones, cuyo mínimo empieza en 600 euros para las infracciones leves, pero puede llegar a los 600.000 para las muy graves.
¿Todo esto te hace por lo menos reflexionar verdad?
Así que manos a la obra. Los pasos a seguir para registrar formalmente los ficheros de datos los podemos leer en la página web de la AGPD. Allí podemos ver ¿Quien debe notificar?, Como se realizan las notificaciones telemáticas con el sistema NOTA, y las preguntas más frecuentes. Los formularios pueden descargarse desde su sección dedicada. Cuidado porque se rellenan en PDF y sólo vale el Acrobar Reader 7 u 8.0. No funciona con el 8.1.
Una vez descargado el fichero, existe un tutorial acerca de como rellenarlo y enviarlo de forma telemática. Buena suerte 
¿Quieres compartir este artículo?
7 Responses to Agencia de Protección de datos y LOPD
Leave a Reply
Canguro Rico
CanguroRico es el blog de Gonzalo Ruiz Utrilla. En 2005 comencé una serie de proyectos en Internet influenciado por Robert Kiyosaki y su libro Padre Rico Padre Pobre. Actualmente soy socio de varias empresas de Internet entre las que destacan Blogsfarm, FinancialRed , ViajeRed o Bolsa.com e intento invertir en proyectos interesantes. Si eres emprendedor y estás buscando inversión ¿Por qué no contactas conmigo y hablamos?
Mis Empresas
Entrevistas y Conferencias
- Entrevista en El País - Sección Ciberpais - Asalariados del Blog: 14/1/2010
- Conferencia: Un Modo de Vida Diferente - Escuela Tecnica Superior Ingenieros Telecomunicacion. Universidad Politécnica de Madrid: 21/12/2010
- Ponencia fin de Congreso: Exprimiendo el poder de los blogs - Congreso de Webmasters Madrid 2007
- Mesa Redonda: Hablemos de Blogs - Congreso de Webmasters Madrid 2007
- Entrevista en Blogger Profesional: 3/7/2007
- Entrevista en El País - Sección Ciberpais - Asalariados del Blog: 14/1/2010
No te olvides tampoco del cocumento de seguridad…
Quise decir “documento”
[...] Agencia de Protección de datos y LOPDcangurorico.com/2007/07/agencia-de-proteccion-de-datos-y-lop… por vicious hace pocos segundos [...]
Si si… la Agencia de protección de datos que funciona al 10%??? Si quieren miren lo que me pasó a mí con mi teléfono en Internet… me puse en contacto con la Agencia y pueden leer lo que me contestaron (de risa).
http://www.iseron.com/index.php?seccion=7&id=83
Creo que el artículo que citas (que creía haber leído pero veo que no) se complica bastante al hablar de publicidad. Si escribes un blog con ánimo de lucro, la actividad deja de ser doméstica (esto es para no tener que declarar a la Agencia de Protección de datos el listín de tu móvil, por ejemplo), pero el quid de la cuestión es de qué datos habla la ley.
Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
Es decir, nombres, teléfonos, e-mails, dni´s serían datos afectados. Los nicks o alias, si no me equivoco, no entrarían dentro de este grupo. Por tanto habría que ver hasta qué punto los datos de los comentarios entran ahí.
La solución fácil para quién no se quiera complicar: eliminar el e-mail del formulario de comentarios. Lo que me lleva a otra reflexión: ¿qué aporta pedir el e-mail en los comentarios? De esa “colección” que cualquier blogger tiene, ¿qué porcentaje ha llegado a usar realmente, a pesar de ser obligatorio? Siempre me ha parecido un poco “abusivo” con tus lectores esa promiscuidad a la hora de pedir el mail, supongo que por la tendencia de todos los CMS.
Offtopic: Gonzalo, una lástima no poder haber coincidido contigo este finde, me quedó más pena por no conoceros a unos cuantos que por las “máquinas”
Hay novedades en este tema. Más obligaciones y lo que me sorprende más es la creación de listas de exclusión o de robinson.
La verdad es que en mi opinión la LOPD es demasiado extensa en su base, que por otro lado siempre debería estar bien, pero muy estrecha conforme avanzamos hacía la implantación.
Desde que conocí la web y la ley me alegré porque por fin se empieza a proteger al usuario, pero luego, cuando te ves en la tesitura de cumplirla te das cuenta de que es dificilísimo implantarla y que hay muchas trabas pese a las facilidades y atención, sobre todo atención, que te da la Agencia.
Primero por el tema de servidores en el extranjero y segundo porque me parece que se está, por encima de todo, midiendo cualquier sitio web como una forma de explotación comercial -que a algunos como los de la SGAE les encataría claro-. O sea, hoy en día, ya no es: cualquiera puede tener una página web y se está matando parte de esa libertad utópica que existía o parecía existir.
—
En la implementación de la LOPD, para un Ayto me estoy muriendo macho, y eso sin servicios comerciales ni LSSI.
-Definición y establecimiento de los ficheros (Nivel medio, hay modelos).
-Contratos con todos los responsables (Bastante complicado porque no depende de ti).
-BOP (Bufff, las ganas que tengan).
-Inscripción de los ficheros (tardará pero es fácil).
-Documento de seguridad (complicado rellenar el modelo de la agencia, tienes que ser casi abogado… o ser el dueño del servidor :S ).
Por muchos modelos que cuelguen en la agencia… ¿cómo va una pequeña empresa o un ayto pequeño a especificar tanto dato jurídicoy tantos supestos?… la LOPD la han hecho abogados y creen que todo el mundo lo es.
—
Quiero decir: La función de la Agencia debería ser facilitarnos cumplir la Ley… no ponernos a estudiar Derecho.
Qué se consigue: Lo de siempre: DINERO.
Dinero a los abogados que te implementan la LOPD si no te quieres arriesgar y dinero por las denuncias, como siempre pasa en España.
¿Cómo se soluciona?:
Obligando a las empresas de hosting en España a cumplir la ley… luego las cumplirán los consumidores.
Así se empieza y no por el último eslabón de la cadena.
Primero que la empresa de los servidores físicos cumpla la ley si ofrece servicio a España (modelos y contratos preparados) –> Proveedor de hosting incluye LOPD en su contrato contigo –> AHORA tú puedes implementar la LOPD desde tus responsabilidades reales.
Es decir, si de hecho la ley debe cumplirse casi al 100%… porque dejar a las empresas de servidores trabajar en España sin garantizar esa ley.
Recordar que la IP es un dato personal y los logs de servidor las registran.
—
En mi caso retiré la publicidad… no por no ser capaz de cumplir la LSSI y la LOPD sino por no poder garantizar nada por la parte de Google que es el servicio que usaba. Google puede vender datos a terceros… datos de tus visitantes, y tú, como usuario de Adsense no puedes especificar, realmente, a tus visitantes dónde, cómo y a quienes vana ir a parar sus datos. Y todo porque Google trabaja en España al margen de la LOPD.
Eso creo que hay que arreglar, si Google (siempre es un ejemplo) ofrece servicios… que lo haga como quiera pero cuando sea en ámbito español que se obligue a tener previsto y disponible cumplir la LOPD, o al menos, alguna ley compatible internacional o yankee.
Perdón por la extensión