Cómo cumplir con la LOPD en tu Tienda Online
Para Cumplir con la LOPD en tu tienda online, debes respetar y cumplir los siguientes 3 apartados: Notificación, Obtención del consentimiento y Protección de los datos.
- Notificación: Notificar a la Agencia Española de Protección de Datos (AGDP) de aquellos ficheros de los que somos propietarios (y cualquier variación de los mismos). A continuación te explicaremos cómo cumplimentar este apartado.
- Obtención del consentimiento: Para obtener y almacenar los datos de terceros debemos de contar son su consentimiento, no pudiendo hacer nunca uso fraudulento de ellos.
- Protección de los datos: Los ficheros con esos datos deben estar protegidos física y tecnológicamente. La información solo puede ser accesible por personas autorizadas
Cómo realizar la Notificación:
Formulario LOPD descargarlo de aquí: (se rellena online directamente, recomendamos usar Internet Explorer como navegador para evitar problemas):
Seleccionamos el tipo de solicitud “Alta”, el modelo de declaración “TIPO”. Después en TIPOS seleccionad “CLIENTES Y PROVEEDORES”.
Aparecerá justo debajo un nuevo cuadro “Presentación de la Documentación, en este caso marcad “internet” que es la opción que hay en el medio.
Pulsamos el botón “Cumplimentar” y automáticamente nos aparecerá el resto de los campos del formulario adaptados a las opciones seleccionadas.
1. Responsable del fichero
El apartado primero del formulario de notificaciones telemáticas a la AEPD (NOTA) se denomina "Responsable del fichero" y en él se solicita la información necesaria para identificar a la persona o entidad titular del fichero en el que se encuentran almacenados los datos de carácter personal, cumplimentar con los datos de vuestra empresa, que será la responsable de dicho fichero.
2. Derechos ARCO
El apartado segundo del formulario de notificaciones telemáticas a la AEPD (NOTA) se denomina "Derechos de acceso, rectificación, cancelación y oposición" (conocidos como los derechos Arco) y en él se solicita la información necesaria para que los ciudadanos sepan a dónde tienen que dirigirse para ejercer sus derechos en el caso de que la dirección no coincida con la del responsable del fichero. Este apartado solo se debe rellenar si la dirección para el ejercicio de los derechos no coincide con la dirección del responsable del fichero indicada en el apartado primero.
4. Encargado del tratamiento
El apartado cuarto del formulario de notificaciones telemáticas a la AEPD (NOTA) lleva por título "encargado del tratamiento" y en él se solicita aquella información necesaria para identificar a la persona o entidad, ajena, y por lo tanto contratada, que vaya a tratar los datos de carácter personal por cuenta del responsable del fichero. Se debe rellenar únicamente si se contrata a una empresa o personal externo que realice el tratamiento por cuenta del responsable. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito, o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento no utilizará los datos con fin distinto al que figure en dicho contrato.
5. Identificación y finalidad del fichero
El apartado quinto del formulario de notificaciones telemáticas a la AEPD (NOTA) se denomina "Identificación y finalidad del fichero" y en él se solicita la identificación del fichero en el que se encuentran almacenados los datos personales y la descripción de la finalidad y usos previstos.
- Denominación. Tenemos que poner un nombre al fichero, como por ejemplo: “Gestión de Clientes y/o Proveedores”, y a continuación, añadir una descripción de lo que contiene dicho fichero, en nuestro caso de tienda online “Gestión de Clientes y/o Proveedores”
- Tipificación correspondiente a la finalidad y usos previstos. Para concluir debemos de elegir de entre la lista de finalidades tipificadas aquella que mejor se adapte a la finalidad de nuestro fichero, que en nuestro caso sería “Comercio Electrónico” y “Gestión de Clientes Contable”. La añadimos pinchando primero sobre ellas y una vez estén marcadas pulsamos “>”.
6. Origen y procedencia de los datos
El apartado sexto del formulario de notificaciones telemáticas a la AEPD (NOTA) se denomina "Origen y procedencia de los datos" y en él se nos pide información acerca de cuál es el origen de los datos almacenados en el fichero y cuáles son los “colectivos o categorías de interesados” de los que provienen los datos. En nuestro caso, para una tienda online debemos marcar Origen: El propio interesado o su representante legal, y en “Colectivos o categorías de interesados” debemos desplazar al cuadro de la derecha “Clientes y usuarios” y “proveedores”.
7.Tipos de datos, estructura y organización
El apartado séptimo del formulario de notificaciones telemáticas a la AEPD (NOTA) se denomina "tipos de datos, estructura y organización del fichero" y en él se solicita información relativa al tipo de datos que se tratan en el fichero y cuál es el sistema que se utiliza para organizar la información. Este apartado se divide en los siguientes subapartados:
- Datos especialmente protegidos: este apartado se cumplimentará solamente si en el fichero se tratan datos que hagan referencia a la ideología, afiliación sindical, religión o creencias de las personal. No marcaremos nada si no se recogen esos datos.
- Otros datos especialmente protegidos: esta apartado se cumplimentará solamente si en el fichero se tratan datos relativos al origen racial, salud o vida sexual. No marcaremos nada si no se recogen esos datos.
- Datos de carácter identificativo: Cualquier fichero de datos de carácter personal debe contener algún tipo de dato identificativo, por lo que este apartado se debe rellenar siempre marcando las casillas que correspondan al tipo de datos contenidos en el fichero. Se rellena de forma automática, simplemente marcad si se añade algún dato de los que no están marcados.
- Otros datos tipificados: en este apartado se deben seleccionar aquellos otros datos que se utilizan en el fichero pero que no se encuentran incluidos en los apartados anteriores. En el caso de que los datos tratados no se encuentren entre los tipificados, se marcará la casilla “otros tipos de datos” y se realizará una breve descripción de los mismos. Se rellena de forma automática, simplemente marcad si se añade algún dato de los que no están marcados.
- Sistema de tratamiento: en este apartado se marcará la casilla que corresponda al sistema de organización de la información que se utilice para tratar los datos, diferenciando entre tratamiento automatizado (realizado a través de aplicaciones informáticas), manual (documentos en formato papel organizados en carpetas y archivadores) y mixto (sistema de organización de los datos en el que se utilizan los dos sistemas anteriores). Marcad el que corresponda. Por defecto Automático
8. Medidas de seguridad
Marcaremos Nivel Básico
9. Cesión o comunicación de datos
El apartado noveno del formulario de notificaciones telemáticas a la AEPD (NOTA) se denomina "cesión o comunicación de datos" y solo debe cumplimentarse cuando el responsable del fichero pretenda entregar los datos a terceros en los términos regulados en el artículo 11 de la Lopd. En ese caso, se seleccionará de entre las categorías de destinatarios propuestos aquellas que mejor identifican al cesionario de los datos. En el supuesto de que no encontremos la categoría adecuada, se marcará la casilla “otros destinatarios de cesiones” y se dará una breve descripción de los mismos.
Ojo: cuando el responsable del fichero contrata a un tercero y le entrega para que le preste un servicio (contabilidad, nominas, marketing,etc.) no se produce una “comunicación de datos” si no que estamos ante la figura del encargado del tratamiento que se debe notificar en el apartado cuarto del formulario.
De forma general este apartado se cumplimenta de forma automática.
Cumplimentar la "hoja de solicitud"
Una vez que hemos cumplimentado todos los apartados anteriores debemos pulsar el botón que aparece al final del formulario denominado “Cumplimentar Hoja de solicitud” con lo que nos aparecerá la primera hoja del formulario (apartado 0) a la que hasta este momento no habíamos podido tener acceso y que se denomina “Persona Física que actúa en representación del responsable del fichero ante la AEPD”
En este apartado se solicitan los datos que identifican a la persona física que va a presentar la hoja de solicitud. Cuando el responsable del fichero sea una persona física (empresario o profesional autónomo) lo normal es que sea el mismo quien presenta la solicitud, pero cuando se trata de personas jurídicas (sociedades mercantiles, sociedades civiles, asociaciones, fundaciones etc.) la hoja la tiene que cumplimentar necesariamente una persona física que actúe en su representación. En todo caso es obligatorio cumplimentar este apartado aunque los datos sean los mismos que hemos puesto en el apartado 1 correspondiente al responsable del fichero.
Enviar la "hoja de solicitud"
Una vez cumplimentada la hoja de solicitud se deberá pulsar el botón denominado “enviar a través de Internet” y entonces el formulario se pondrá en contacto con el servidor de la Agencia Española de Protección de Datos.
El formulario nos indicará que se está conectando con el servidor de la AEPD y, a continuación, el sistema nos enviará la Hoja de solicitud (en formato PDF) que confirma que la notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la persona que efectúa la notificación, es la que deberá remitir a la AEPD (c. Jorge Juan, 6 28001- Madrid).
Ojo con la fecha de notificación. Hay que tener muy en cuenta, que cuando se envía la notificación a través de Internet sin firma electrónica no se considera que se ha notificado el fichero sino desde la fecha en la que tenga entrada en la Agencia Española de Protección de Datos la hoja de solicitud firmada de forma manual, careciendo de efecto alguno las notificaciones enviadas por Internet sin certificado de firma reconocido si la hoja de solicitud de inscripción, debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia Española de Protección de Datos o en alguno de los Registros y oficinas a los que se refiere el » artículo 38.4 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común .
El acuerdo de inscripción
Una vez recibida la notificación, si esta contuviera la información preceptiva y se cumplieran las restantes exigencias legales, el Director de la Agencia Española de Protección de Datos, a propuesta del Registro General de Protección de Datos, acordará, respectivamente, la inscripción del fichero, asignando al mismo el correspondiente código de inscripción. En caso contrario el Director de la Agencia dictará resolución denegando la inscripción o se solicitará al notificante que se completen los datos que falten o se proceda a su subsanación.
Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Española de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.
Ojo. La inscripción de un fichero en el Registro General de Protección de Datos, no exime al responsable del cumplimiento del resto de las obligaciones previstas en la Ley Orgánica de Protección de Datos, y demás disposiciones reglamentarias.