Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

El comercio minorista, la LOPD y la LSSICE

1,637 views

Published on

Esta presentación pretende ser una breve píldora informativa específica para que los comercios del municipio conozcan los principios, derechos y obligaciones que recoge la Ley Orgánica de Protección de Datos Personales (LOPD) en relación a los datos personales con los que trabaja un comercio. Asimismo, se informa también de manera rápida y a grandes rasgos sobre los requisitos legales que deben cumplir en su Web, en su comercio electrónico o al enviar campañas de e-mail marketing según la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE).

Published in: Retail
  • Login to see the comments

El comercio minorista, la LOPD y la LSSICE

  1. 1. El comercio minorista, la LOPD y la LSSICE.
  2. 2. Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).  La normativa sobre protección de datos de carácter personal afecta a todas las empresas, comercios y profesionales, incluso los regentados por autónomos, que tengan ficheros (en papel o soporte informático) con datos personales de personas físicas (clientes, personal, proveedores, etc.). Aunque sea a nivel básico, están obligados a cumplir con la Ley Orgánica de Protección de Datos cuando recaben en su actividad datos de carácter personal, entendidos éstos como todos aquellos que identifiquen a una persona física. 1
  3. 3.  Habitualmente se hacen cosas en el día a día que son un riesgo y en consecuencia un foco de posibles denuncias ante el organismo de control en materia de protección de datos. Entre este listado de riesgos se encuentran algunos tan comunes como: • Uso de papel reciclado de anteriores impresiones, que descontrolado es factible que se entregue a terceros o se difunda a personas no autorizadas. • Destrucción incorrectamente de papel con datos sensibles. • Empleados que se llevan trabajo y por tanto datos a casa. • Ordenadores utilizados por varios trabajadores a lo largo de una jornada de trabajo. • Envíos personalizados a clientes por medios electrónicos (e-mail, WhatsApp, SMS). • Traslado de documentación a lugares externos como asesorías, bancos, etc. • Uso de redes sociales a nivel de empresa. • Y otros muchos más,…  De ahí la importancia de conocer exactamente a qué se enfrenta tu negocio valorando los riesgos y aplicando las correspondientes medidas que los anulen o cuanto menos los minimicen. 2
  4. 4.  Esta Ley tiene como finalidad garantizar la protección y buen tratamiento de datos de carácter personal. Estos datos se dividen en tres niveles atendiendo al grado de la información que recojas de tus clientes y/o usuarios: Finalidad de la LOPD: Nivelbásico: Datos identificativos, como el NIF, NºSS, nombre, apellidos, dirección, teléfono, firma, imagen, e-mail, nombre de usuario, número de tarjeta, matrícula, etc. Nivelmedio: Datos a cerca de infracciones administrativas o penales, solvencia o crédito, datos tributarios o de la Seguridad Social, datos de prestación de servicios financieros, y datos referentes a la personalidad o comportamiento de las personas, como gustos, costumbres aficiones etc. Nivelalto: Datos a cerca de ideología, religión, creencia, origen racial, salud, vida sexual o violencia de género. 3
  5. 5.  El responsable de estos datos y de su tratamiento, será la persona que decida sobre la finalidad, el contenido y el uso de los datos personales. Y por tanto será sobre quién recaerán las obligaciones establecidas por la LOPD, y quien deberá hacer que se cumpla la Ley. 1 • Inscripción de ficheros; ante el Registro General de Protección de datos. 2 • Calidad de los datos; que estos sean adecuados y veraces. 3 • Deber de guardar secreto; garantizar el cumplimiento de los deberes de secreto y seguridad. 4 • Deber de información; Informar y obtener consentimiento para la recogida y tratamiento de los datos personales. 5 • Atención de los derechos de los ciudadanos; derecho de acceso, derecho de rectificación y cancelación y derecho de oposición. 4
  6. 6.  Puesto que la LOPD tiene por objeto proteger la intimidad de las personas físicas, las personas jurídicas, no pueden beneficiarse de esta protección. Por lo que si eres autónomo, según la situación en la que te encuentres, te afectará de una u otra forma: Autónomo administrador de una S.L. o S.A.: • En este caso el autónomo, a nivel personal no tiene obligación de cumplir con la LOPD, pero sí su empresa, por lo que como administrador de ésta, tendrá que velar para que cumpla con la LOPD. Autónomo con actividad empresarial y personal a cargo: • Tendrá que cumplir con la LOPD, al ser el responsable de los datos de carácter personal de sus empleados, además de los de sus clientes y proveedores. Autónomo con actividad empresarial sin personal a cargo: • Se evaluará la naturaleza del negocio y si trata datos de clientes o proveedores, de qué tipo son y si deben o no estar organizados en ficheros. Si no existen ficheros no tiene que cumplir con la LOPD. Pero si sus clientes son personas particulares será probable que tenga que cumplir con la LOPD. 5
  7. 7. Porque tienes que adecuar tu comercio a la LOPD: Para garantizar que tu negocio se encuentra dentro de las exigencias legales. Porque te puedes enfrentar a apercibimientos o importantes sanciones económicas. Por el posible coste para la empresa si ocurre una pérdida de datos personales confidenciales. 6
  8. 8. Si tienes un comercio no puedes olvidarte de la LOPD.  Da igual que no tengas empleados, que tengas pocos clientes, que no tengas ordenador y apuntes todo en una libreta.  Desde el momento en que recoges, almacenas y gestionas cualquier tipo de información de carácter personal, debes estar adecuado a la LOPD.  Es evidente que las medidas de seguridad serán muy distintas según las características de tu negocio. No es lo mismo que tengas una peluquería y solo recojas un nombre y un móvil para apuntar las citas en tu agenda y una ficha con el tinte que utilizan tus clientes, que si tienes un comercio, con varios empleados, videocámaras, TPV, recetas, etc.  En cualquier caso, salvo que no recabes ningún dato de tus clientes, no tengas empleados ni proveedores, ni una Web con formulario de contacto, deberás adecuarte a la LOPD.  Estamos hablando del derecho fundamental a la protección de datos personales. 7
  9. 9.  Pero además de la obligatoriedad que reviste la LOPD, adecuar tu comercio o negocio a esta regulación te proporciona enormes beneficios y ventajas que deberías valorar: Confianza: • Cuando un cliente reconoce el valor de sus datos, exige a los titulares de las empresas que hagan un uso ético y responsable de su información personal y seleccionará a las empresas que garanticen la seguridad de sus datos y el respeto por sus derechos. Diferenciación: • Adecuar tu empresa a la LOPD es dejar evidencias claras de un uso responsable de la información y de respeto por tus clientes. Es la mejor manera de diferenciarte de la competencia y ganar credibilidad. Tranquilidad: • Estar al margen de la LOPD es arriesgado pues puede suponer una denuncia ante la Agencia Española de Protección de Datos. 8
  10. 10. Cómo cumplir con la LOPD:  La AEPD, Agencia Española de Protección de Datos, es la autoridad de control independiente que vela por el cumplimiento de la normativa y garantiza el derecho fundamental a la protección de datos personales. Pero serán cada autónomo y cada empresa los que tengan que contratar los servicios de una empresa especializada que se dedique a la implantación de la LOPD.  Los pasos para el proceso de implantación de la LOPD serán: Identificación de los ficheros que contengan datos de carácter personal (empleados, clientes, proveedores, etc.). Identificación del nivel de seguridad que se les aplica. Identificación del Administrador del Fichero. Elaboración del Documento de Seguridad. Formación al Responsable del Fichero. Información a los propietarios de los datos, sobre la existencia de los ficheros. Inscripción de los ficheros en el Registro de la Agencia Española de Protección de Datos. 9
  11. 11. La Auditoría de Protección de Datos:  Para cumplir con esta LOPD debes, entre otras cosas, inscribir los ficheros que contengan datos personales ante la AEPD, desarrollar un Documento de Seguridad, y en algunos casos, si tu empresa ha inscrito ficheros con datos calificados de nivel medio y/o alto, realizar auditorias bienales sobre el cumplimiento del Reglamento de Desarrollo de la LOPD (RDLOPD). La realización de la auditoria será también obligatoria en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.  Una auditoria de LOPD, persigue verificar que tratas los datos de carácter personal cumpliendo con las medidas y los controles exigidos tanto por la LOPD como por el RDLOPD, en función del nivel que corresponda.  EL objetivo de una auditoria es verificar el cumplimiento o la adecuación a la obligaciones impuestas y se podrá realizar de forma interna o externa, aunque es recomendable que no la realice quien haya participado en el proceso de adecuación a la Ley. La auditoria, deberá finalizar con un informe que registra los aspectos verificados, salvedades detectadas y determinará si tu empresa se ajusta o no a la Ley. En el caso de no cumplir con ella, deberá indicar cuáles son las deficiencias y recomendar las medidas correctoras necesarias. 10
  12. 12. Que datos personales recoge un comercio:  Los datos personales son todos los que permiten identificar a una persona: El nombre, los apellidos, la fecha de nacimiento, la dirección postal o la dirección de correo electrónico, el número de teléfono, el número de identificación fiscal, el número de matrícula del coche, una fotografía, una imagen de video vigilancia, el número de seguridad social, etc.  Cualquiera de ellos es susceptible de identificar a una persona y por eso necesitan protección.  Si tienes un comercio, necesariamente recoges algún tipo de información personal. • Datos de una tarjeta de crédito. • Datos para una tarjeta de fidelización. • Correos para envío de promociones, sorteos y ofertas. • Datos de contacto para reservas o pedidos. • Datos obtenidos de video vigilancia. • Etc. 11
  13. 13. Obligaciones de un comercio según la LOPD:  Si tienes un comercio, debes garantizar una serie de derechos a las personas vinculadas a tu negocio, como clientes, proveedores, empleados, etc. El derecho a ser informado de cuándo, quién y porqué se tratan sus datos personales. Este derecho está recogido en el artículo 5 de la LOPD “Deber de información”. El derecho a acceder a los datos y, en caso necesario, el derecho a la modificación o supresión de los datos o el derecho a la oposición al tratamiento de los mismos. Derechos sobre actividades publicitarias. Es el mayor motivo de denuncias y sanciones para un comercio. La LSSI-CE Ley de Servicios de la Sociedad de la Información establece que corresponde a la Agencia Española de Protección de Datos (AEPD), la imposición de sanciones en el caso de infracciones por el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes. 12
  14. 14.  Por otra parte, el RDLOPD se enfoca en comprobar que existen medidas técnicas que garanticen la protección de los datos: • Debes recabar de los interesados o afectados el consentimiento previo a incorporar en la recogida y tratamiento de sus datos. • Debes tener el consentimiento expreso y por escrito de tus trabajadores para tratar sus datos personales. • Debes tener declarados e inscritos los ficheros de datos de carácter personal en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos. • Debes contar con la resolución de la AEPD con los números de inscripción asignados. • Debes tener redactado un Documento de Seguridad personalizado que cumpla lo estipulado en la ley respecto a las medidas de seguridad a implantar. • Debes implantar medidas que salvaguarden la seguridad, integridad y confidencialidad de los datos. • Todos los miembros de tu empresa deben conocer sus obligaciones en materia de protección de datos y debes definir las funciones y obligaciones del personal con acceso a datos personales. • Debes tener redactado y firmado un contrato de comunicación y confidencialidad de datos con todos los colaboradores o empresas con los que compartes información. 13
  15. 15. • Debes comprobar los controles de acceso a los sistemas y aplicaciones, y que permitan únicamente el acceso al personal autorizado. • Debes contar con los modelos de atención de los ejercicios de derecho de acceso, rectificación, cancelación y oposición. • Debes tener adecuadas todas las comunicaciones corporativas a la LOPD con las indicaciones legales correspondientes. • Debes realizar auditorias periódicas para la verificación del cumplimiento de las medidas de seguridad. • Debes contar con un procedimiento para el envío de publicidad y marketing respondiendo a la legislación. • Debes tener adecuada tu Web a la LSSI (redactando avisos legales y política de confidencialidad en tus formularios de contacto). • Debes tener un registro de incidencias y que esté correctamente cumplimentado. • Debes tener mecanismos de identificación y autenticación que garanticen la seguridad en el acceso a la información. • Debes realizar con la periodicidad que establezcas, copias de respaldo de tus datos. • Debe existir un registro de acceso a las aplicaciones que dispongan de datos personales. 14
  16. 16. Principios fundamentales de la LOPD aplicadas a un comercio:  Como titular de un comercio, actúas como responsable de un fichero de datos de carácter personal.  Esto implica la necesidad de gestionar esos datos de acuerdo a unos principios: Principio de información:  Las personas relacionadas con tu comercio tienen derecho a conocer acerca de la incorporación de sus datos a un fichero, de la identidad y dirección del responsable (es decir, tu), de la finalidad del fichero, de los destinatarios de la información, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.  Recabar información personal sin informar adecuadamente a tus clientes es temerario, por tanto, si vas a recabar datos para una promoción, sorteo, concurso, etc. es imprescindible introducir una cláusula informativa adecuada a la finalidad de esa recogida. 15
  17. 17. Principio de calidad:  Los datos deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y los fines para los que se han recogido, algo que debes tener muy en cuenta en tu comercio antes de requerir información a tus clientes. Es decir, si tienes un comercio de zapatos, no puedes requerir información sobre el estado civil o la matrícula del coche de tu cliente. La información que recojas debe ajustarse a la finalidad. Principio de finalidad:  Los datos deben recogerse con fines determinados, explícitos y legítimos. Si tienes un comercio de alimentación y recoges información sobre gustos y compras de clientes para mandarles promociones en función de sus intereses, no puedes utilizar luego esa información para enviarles información sobre otros productos u otro negocio. Principio de consentimiento:  Se entiende por consentimiento “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.  No puedes tratar datos de una persona sin requerir su previo consentimiento, salvo que la Ley disponga otra cosa y este podrá ser revocado en cualquier momento. Como por ejemplo para utilizar imágenes de clientes con fines promociónales o compartir la información de tus clientes con terceros. Debes informarlo y requerirles el consentimiento para poder ceder sus datos. 16
  18. 18. Principio de notificación:  Desde el momento que recoges datos personales, como responsable deberás notificar al Registro General de Protección de Datos la creación, modificación o supresión de cualquier fichero o tratamiento de datos personales. Principios de seguridad:  Todo responsable o encargado de un tratamiento tiene que adoptar todas las medidas necesarias para garantizar la seguridad de los datos personales e impedir cualquier alteración, pérdida, tratamiento o acceso no autorizado.  Esto implica implantar medidas de seguridad en tu negocio adecuadas al tipo de información que recoges. * En caso de que se produzca alguna brecha de seguridad que comprometa la confidencialidad de los clientes de tu comercio, la Agencia Española de Protección de Datos, valorará la diligencia en la prevención, porque no es lo mismo responder a una infracción acreditando una serie de medidas de seguridad que se adoptaron para minimizar el riesgo, que no poder acreditar ninguna. 17
  19. 19. Clientes morosos en un comercio:  La morosidad afecta a muchos comercios y puede que también al tuyo. ¿Como debes tratar esos datos?  La inclusión de los datos de carácter personal en ficheros de morosos sólo podrá efectuarse cuando exista una deuda cierta, vencida y exigible, que haya resultado impagada, y después de que se haya requerido al cliente afectado el pago de la deuda por el acreedor.  Esto significa que no puedes incluir en un fichero de morosos a alguien sin haber requerido antes el pago de la deuda por medios que puedas acreditar. Cuando un cliente cancele su deuda, deberás cancelar inmediatamente el dato referido a su deuda. 18
  20. 20. Tus obligaciones respecto al cliente moroso:  Como responsable del fichero de morosos, tienes la obligación de notificar a tu cliente que has procedido a incluirlo en el mismo detallando los datos incluidos, así como al derecho que le asiste a tu cliente para recabar información de la totalidad de esos datos incluidos en los términos establecidos en la LOPD.  Tienes 30 días de plazo máximo para realizar esa notificación desde el registro del dato e informar a tu cliente de su derecho a recabar información sobre los datos recogidos en el mismo.  También deberás adoptar las medidas organizativas y técnicas necesarias que permitan acreditar la realización material del envío de la comunicación y la fecha de entrega o intento de entrega de la notificación. 19
  21. 21. Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).  La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) establece las obligaciones y limites de las actividades empresariales y personales que pueden desarrollarse a través de Internet, y establece los requerimientos específicos que deben cumplir los responsables de sitios web de comercio electrónico.  Esta Ley obliga a todos los prestadores de servicios, tanto empresas como particulares, que realizan a petición del usuario servicios a través de internet. Se incluyen las empresas que disponen de una web con un catálogo de productos aunque no vendan por Internet.  Como prestador de servicios relacionados con internet debes mostrar obligatoriamente en tu Web de forma permanente, fácil, directa y gratuita, información general sobre tu empresa y sobre los productos y servicios que ofreces y las condiciones de los mismos. 20
  22. 22.  Los datos que debes publicar son los siguientes: • Nombre o denominación social (nombre y apellidos en caso de empresario autónomo). • Domicilio social de la empresa, dirección de la residencia en caso de profesionales (Domicilio particular en caso de empresario autónomo). • Dirección de correo electrónico y teléfono o fax. • Número de identificación fiscal. • Los datos de inscripción en el Registro Mercantil o profesional correspondiente según se trate de una empresa o un profesional.  Si la actividad del prestador de servicios es una profesión regulada, es decir, que solo se puede ejercer mediante unas condiciones determinadas por una ley o normativa legislativa, se deben incluir: • Los datos del colegio profesional y número de colegiado. • Título académico oficial o profesional. • El estado de la Unión Europea en el que se expidió el titulo y , en su caso, la homologación o reconocimiento de la titulación. • Las normas profesionales aplicables al ejercicio de esta profesión, como códigos deontológicos o de conducta y los medios electrónicos a través de los cuales se pueden conocer estas normas. 21
  23. 23.  Si se trata de prestadores de servicios que realizan actividades sujetas a autorización administrativa previa, se debe informar de los datos relativos a dicha autorización y se debe identificar al órgano administrativo competente de su supervisión.  Cuando se haga referencia a precios: Debes facilitar información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.  Cuando los prestadores de servicios relacionados con Internet empleen cookies deben recabar el consentimiento de los usuarios después de que los mismos hayan sido informados de manera clara y completa sobre su utilización y finalidad. Los proveedores de acceso a Internet están obligados a informar a sus usuarios sobre los medios técnicos que permitan la protección frente a las amenazas de seguridad en Internet (virus informáticos, programas espías, spam, etc.) y sobre las herramientas para el filtrado de contenidos no deseados.  La LSSICE también establece: • La prohibición expresa de envío de correos electrónicos publicitarios no solicitados o expresamente consentidos. • El deber de facilitar al cliente, información referente al proceso de contratación electrónica, en los instantes anterior y posterior a la celebración del contrato. 22
  24. 24.  En el caso de ser Prestador de Servicios de la Sociedad de la Información, deberás informar al Registro Mercantil en el que te encuentres inscrito o aquel otro registro público en el que estuvieras registrado para obtener personalidad jurídica a efectos de publicidad, de las direcciones de Internet que utilices para prestar los servicios o al menos de la dirección principal (dominio) en un plazo máximo de 30 días desde el registro del dominio. Una vez llevada a cabo la inscripción, tendrás que comunicar al registro correspondiente cualquier sustitución o cancelación del nombre de domino. 23
  25. 25. BIBLIOGRAFÍA Ley Orgánica de Protección de Datos La Ley de Protección de Datos y el Autónomo LOPD para un comercio: todo lo que necesitas saber Riesgos en el cumplimiento de la LOPD para un pequeño comercio ¿Cumples con la LOPD? Pues vamos a comprobarlo Agencia Española de Protección de Datos Ayuda LOPD Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico Ley sobre Servicios de la Sociedad de la Información y de Comercio Electrónico 24

×