En la primera parte de esta serie de artículos te explicamos algunas cuestiones legales básicas para la creación de tu negocio digital; sobre todo en lo referente a la forma jurídica que adoptar (normalmente autónomo o sociedad limitada) y a la importancia de dejarte asesorar por un profesional en la elección y registro de tu marca y de tu nombre de dominio.
En esta segunda parte entramos en las cuestiones legales básicas que en tu negocio digital deberás tener en cuenta en materia de protección de datos y de derecho digital.
Protección de datos
Una vez dados de alta en Hacienda y en la Seguridad Social, constituida la sociedad (si nos hemos decantado por esta forma jurídica) y registrada la marca, nos disponemos a iniciar la actividad. Ahora bien, muy probablemente en su desarrollo la empresa deberá hacer alguna clase de tratamiento de datos personales, bien sea de clientes, de trabajadores, de proveedores, o de todos ellos. En este caso, la empresa queda sujeta a las obligaciones que impone la legislación en la materia, fundamentalmente el Reglamento General de Protección de Datos (Reglamento 2016/679 de 27 de abril, RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (Ley Orgánica 3/2018, de 5 de diciembre, LOPDGDD).
Las obligaciones previstas en esta normativa no pueden tomarse a la ligera pues, para el caso de su incumplimiento, se prevén sanciones administrativas de hasta 20 millones de euros. Y tratándose de empresas, la sanción podrá llegar a una cantidad equivalente al 4% del volumen de negocio del año anterior, siempre que esta cantidad sea mayor a los mencionados 20 millones de euros. Además, debe considerarse que, conforme a la legislación vigente, corresponde al empresario demostrar que ha cumplido con todas las obligaciones que le son exigibles.
Así las cosas, debemos referirnos a las principales obligaciones en protección de datos que deben satisfacer los empresarios.
En primer lugar, dice el RGPD que todo responsable del tratamiento y todo encargado del tratamiento deberá llevar un registro de las actividades de tratamiento. Responsable del tratamiento es la persona física o jurídica que decide para qué y cómo serán tratados los datos personales. Por su parte, encargado del tratamiento es la persona física o jurídica que trata los datos personales por cuenta del responsable, por ejemplo, la agencia de publicidad que trata los datos de los clientes de la empresa cuando lleva a cabo una campaña de marketing a ellos dirigida, o la gestoría que trata los datos de los empleados cuando prepara las nóminas. La relación entre el responsable y el encargado del tratamiento debe regirse por un contrato de encargado del tratamiento, con el contenido previsto en el RGPD.
El registro de actividades del tratamiento recogerá diversa información relativa a los tratamientos de datos que se lleven a cabo en el seno de la empresa (las clases de tratamientos que se realizan, su finalidad, las medidas adoptadas para la seguridad de los datos, etcétera), y deberá estar disponible por si lo solicita la Agencia Española de Protección de Datos (AEPD).
No todas las empresas están obligadas a llevar el registro de actividades del tratamiento, sino únicamente aquellas que empleen a 250 trabajadores o más. Ahora bien, las empresas con menos de 250 trabajadores contratados también estarán obligadas a contar con un registro de las actividades del tratamiento cuando se traten determinado tipos de datos pertenecientes a las llamadas categorías especiales (raza, ideología, religión, afiliación sindical, salud, vida sexual u orientación sexual, o datos de salud, genéticos o biométricos), o cuando se traten datos relativos a condenas e infracciones penales, o, el supuesto que puede ser más común, cuando el tratamiento de los datos personales no sea ocasional, sino parte de la actividad habitual de la empresa.
Otra de las obligaciones a las que pueden estar sujetos los responsables y encargados del tratamiento de datos personales es la designación de un delegado de protección de datos (DPO). En concreto, las empresas deberán designar un DPO cuando el tratamiento que se vaya a llevar a cabo requiera una observación habitual, sistémica y a gran escala de datos personales. Igualmente, será necesario contar con un DPO cuando el tratamiento de los datos, aunque no sea habitual y sistemático, sí sea a gran escala y se refiera a las categorías especiales de datos que hemos visto antes, o a datos relativos a condenas e infracciones penales.
El DPO es la persona encargada de asesorar a la empresa en todas las cuestiones relativas a la protección de datos y de asegurarse de que se cumplen las obligaciones legales en la materia. Además, actúa como cauce de comunicación con la AEPD y, con frecuencia, con los interesados cuyos datos son tratados por la empresa.
El DPO puede ser una persona física o jurídica, un trabajador de la empresa o un contratado externo. En cualquier caso, es muy importante que se garantice su independencia y autonomía en el ejercicio de sus funciones, preservándolo de cualquier posible conflicto de intereses.
El DPO no necesita estar en posesión de una titulación específica para ejercer este puesto, aunque se recomienda que cuente con conocimientos técnicos especializados en el Derecho de la protección de datos y experiencia en este ámbito.
Una de las obligaciones del empresario en cuyo cumplimiento puede asesorar el DPO es la realización de análisis de riesgos. Corresponde al empresario, como responsable o encargado del tratamiento, adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos que trata. Pero para poder adoptar estas medidas es necesario que, en primer lugar, se identifiquen los riesgos derivados del tratamiento, es decir, el impacto que tendrían las amenazas potenciales para la integridad, confidencialidad y disponibilidad de los datos si llegaran a verificarse, y la probabilidad de que efectivamente se materialicen.
Todas las empresas, sin excepción, están obligadas a analizar los riesgos de los tratamientos que realizan y adoptar las medidas de seguridad apropiadas.
Existen dos tipos de análisis de riesgos que pueden realizarse. Por un lado, está el análisis básico de riesgos, más general y simplificado, y por otra la evaluación de impacto, de mayor profundidad y realizada para cada tratamiento. La realización de uno u otro análisis dependerá del nivel de riesgo que implique el tratamiento. Para determinarlo se realizará un análisis previo. Si el nivel de riesgo detectado es bajo, corresponde realizar una análisis básico; si por el contrario es elevado, deberá llevarse a cabo la evaluación de impacto.
En el análisis básico de riesgos, las actividades de tratamiento, agrupadas por procesos comunes, son descritas indicando en qué consiste el tratamiento, cuáles son los datos que se tratan y por quién son tratados, así como la tecnología empleada para llevarlas a cabo. A continuación, a cada conjunto o categoría de tratamientos se le asigna un nivel de riesgo y, en su función, se adoptan unas u otras medidas de seguridad. Para ayudar a realizar el análisis de riesgos la AEPD ha puesto a disposición de responsables y encargados del tratamiento la herramienta FACILITA, destinada a empresas que realizan tratamientos de datos personales que, a priori, parecen conllevar un bajo nivel de riesgos (como el tratamiento de datos de contacto de clientes o proveedores).
Ahora bien, como se ha señalado, cuando el tratamiento de los datos entrañe un alto nivel de riesgo no será suficiente con realizar un análisis básico, sino que se requerirá una evaluación de impacto relativa a la protección de datos. La evaluación de impacto es siempre necesaria cuando los datos personales van a ser tratados de forma automatizada para la elaboración de perfiles (minería de datos), cuando se traten, a gran escala, datos de categorías especiales, y cuando los datos procedan de la observación a gran escala de zonas de acceso público (videovigilancia).
Además, más allá de estos tres casos que acabamos de señalar, la evaluación de impacto será obligatoria siempre que el tratamiento entrañe un elevado nivel de riesgo para los derechos y libertades de los afectados. En este sentido, la AEPD ha publicado una lista de tratamientos que requieren la realización de una evaluación de impacto.
En la evaluación de impacto deberán describirse las actividades de tratamiento que se realizarán y cuál será su finalidad. A continuación, deberá valorarse la necesidad real de llevar a cabo dichas actividades para la consecución de los fines propuestos, así como los riesgos inherentes a su realización. Por último, se propondrán las medidas de seguridad necesarias para prevenir dichos riesgos.
Pero, puede ocurrir que, a pesar de que se hayan adoptado todas las medidas de seguridad oportunas, se produzca una quiebra de la seguridad. En este caso, el RGPD impone a los responsables la obligación de notificar la violación de la seguridad a la autoridad de control (la AEPD) en el plazo máximo de 72 horas. Además, si la violación de la seguridad entraña un alto riesgo para los titulares de los datos afectados, deberá también comunicarse a estos interesados.
Ésta es una de las múltiples obligaciones de información que se prevén en la legislación de protección de datos a favor de los interesados. Otra de estas obligaciones es la de informar acerca de los derechos que corresponden a los interesados, que será tratada en el apartado de este artículo titulado “Textos legales”.
En cualquier caso, recomendamos siempre que te pongas en mano de abogados especialistas en protección de datos para que te asesoren sobre cualquier duda que pudieras tener.
Sociedad de la información
La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (Ley 34/2002 de 11 de julio, LSSICE) contiene un concepto amplio de servicio de la sociedad de la información que engloba todos los servicios prestados a distancia, por vía electrónica y a petición individual del destinatario, incluso cuando sean servicios no remunerados por su destinatario, siempre que constituyan una actividad económica del prestador de servicios (por ejemplo, cuando se monetiza una página web, de acceso gratuito para los usuarios, mediante la colocación de anuncios publicitarios).
A la vista de este concepto amplio de servicio de la sociedad de la información, el empresario que realiza su actividad (de contenido económico) en Internet, debe ser considerado un prestador de servicios de la sociedad de la información y, por lo tanto, queda sujeto a las obligaciones previstas en la LSSICE.
Y dice la LSSICE que los prestadores de servicios están sujetos a las responsabilidades civiles, penales y administrativas en que pudieran incurrir en el ejercicio de su actividad. Es decir, que el hecho de desarrollar sus actividades en Internet no sirve como pretexto para dejar de cumplir las obligaciones que a todos nos imponen las leyes. Ahora bien, la legislación vigente también dispone que cuando los prestadores de servicios presten servicios de intermediación, y siempre que se cumplan determinadas condiciones, quedarán exentos de responsabilidad por los contenidos ajenos que transmiten, alojan o a los que facilitan acceso.
Las actividades de intermediación son las relativas a la transmisión, copia, alojamiento y localización de datos ajenos en Internet. El prestador de servicios quedará exonerado por las responsabilidades derivadas de los contenidos respecto de los que intermedie siempre que se cumplan una serie de condiciones que, grosso modo, consisten en: (1) que desconozca que la información respecto de la que intermedia es ilícita y, (2) que en el momento en que entre en conocimiento de la ilicitud de la información o contenido respecto del que realice su actividad de intermediación, actúe con rapidez para retirarlo o para hacerlo inaccesible.
Ahora bien, si la actividad del prestador de servicios va a consistir en almacenar obras protegidas de todo tipo (películas, fotografías, canciones, obras plásticas, etcétera), cargadas en su página web por terceros, y dar acceso a ellas (un modelo de negocio tipo Youtube, por ejemplo), entonces debe tenerse muy presente la Directiva 2019/790 de 17 de abril.
La citada Directiva dispone que los empresarios que desarrollen esta clase de actividades (los llamados prestadores de servicios para compartir contenidos en línea), comunican al público las obras a las que dan acceso en su página web, aunque hayan sido cargadas por terceros. Esto significa que, si dichas obras han sido cargadas en la plataforma sin el consentimiento de sus autores o de los titulares de los derechos sobre ellas, el prestador de servicios será responsable, sin que pueda aplicarse la exoneración de responsabilidad prevista en la LSSICE que acabamos de ver.
La única forma de evitar la responsabilidad en este caso será contar con una autorización de los titulares de derechos o, en su defecto, cumplir 3 condiciones: (1) demostrar que se han hecho esfuerzos serios para lograr dicha autorización, (2) demostrar se ha actuado con diligencia para impedir el acceso a las obras protegidas, siempre que los titulares de derechos las hayan identificado y, (3) retirar de forma inmediata las obras protegidas cuando los titulares de los derechos le notifiquen que han sido cargadas en la plataforma web sin su consentimiento.
La Directiva 2019/790 está, a fecha de publicación de este post, pendiente de transposición (se prevé un plazo de dos años para ello) y, por tanto, sus disposiciones aún no son aplicables. Pero pronto lo serán. Por ello, el emprendedor que aspire a desarrollar una empresa en Internet debe tenerlas muy presentes a la hora de planificar su negocio. Para mayor información sobre la Directiva 2019/790 puede consultarse este post.
Además de lo anterior, si en el desarrollo de nuestro negocio tenemos pensado enviar una newsletter, de la LSSICE debemos tener particularmente en cuenta que el envío de comunicaciones publicitarias o promocionales por medios electrónicos está prohibido salvo que: 1) previamente hubiera sido solicitado o autorizado por el destinatario (es decir, se cuente con una lista de suscriptores a la newsletter cuyos datos hayan sido válidamente obtenidos para dicha finalidad); o 2) exista una relación contractual previa con el destinatario y la newsletter tuviera relación con los productos o servicios contratados. En todo caso, el empresario deberá facilitar al destinatario la posibilidad de anular la suscripción a la newsletter en cada envío que realice, y a oponerse al tratamiento de sus datos para dicha finalidad en el momento de la recogida de sus datos (lo que normalmente se traduce en una casilla en el formulario de contacto que indique que no se desean recibir comunicaciones comerciales).
Esta disposición de la LSSICE pretende evitar el molesto spam, tratándose así de una conducta no permitida por la ley. De esta forma, nuestra recomendación es que no promociones tus productos y servicios mediante envío de correos electrónicos a personas o empresas que no conozcas y que no hayan autorizado la recepción de tales correos; y que, en cambio, llames por teléfono y pidas, por ejemplo, cita para una reunión.
Textos legales
Los empresarios están sujetos a múltiples obligaciones de información impuestas tanto por la LSSICE como por las normas sobre protección de datos. La forma de dar cumplimiento a estas obligaciones para el emprendedor en Internet consiste en la redacción de diversos textos legales que estarán disponibles, de forma fácilmente accesible, para su consulta en su web.
Uno de estos textos es el aviso legal, a través del que se cumplen las obligaciones de información impuestas por la LSSICE. En él deben incluirse, en primer lugar, los datos de identificación y contacto del prestador de servicios responsable de la página web. Esto incluye el nombre o denominación social, el correo electrónico, el número de teléfono y el NIF. Si se optó por constituir una persona jurídica, como una sociedad de responsabilidad limitada, también deberán incluirse sus datos de inscripción en el Registro Mercantil.
Además, si la actividad desarrollada en la página web está sujeta a autorización administrativa previa (energía, transporte, producción y transformación de metales, química, industria alimentaria y del tabaco, gestión de residuos, seguridad privada, bares y restaurantes, juego y apuestas, etcétera), se deben indicar los datos relativos a dicha autorización y los que identifiquen al órgano supervisor competente.
Por otro lado, si el prestador de servicios ejerce una profesión regulada, deberá constar el número de colegiación, el título académico o profesional con el que se cuente y su país de expedición, y el código deontológico por el que se rige el ejercicio de dicha profesión. Las profesiones reguladas son aquellas cuyo acceso se condiciona a obtener una determinada titulación, haber superado exámenes especiales (por ejemplo, exámenes estatales) y/o inscribirse en un órgano profesional (como un colegio profesional) para ejercerla. Son ejemplos de esta clase de profesionales los abogados, procuradores, médicos, arquitectos, auditores de cuentas, detectives privados, enfermeros, entrenadores deportivos, farmacéuticos, y los ingenieros, entre otros.
En el caso de que el prestador de servicios está adherido a algún código de conducta, deberá señalarse esta circunstancia, indicando la forma de consultarlo en Internet.
La LSSICE exige que toda esta información esté disponible de manera claramente visible e identificable. Ahora bien, a condición de que los usuarios de la web puedan encontrarla siempre con facilidad, puede ser emplazada donde se prefiera (en el pie de página, en una página reservada para ello).
Ahora bien, si en el desempeño de la actividad se van a recoger datos personales (algo muy frecuente), será necesario además que en la página web se facilite la información exigida por el artículo 13 RGPD, a través de otro texto legal, la política de privacidad.
Esta información puede ser ofrecida a los interesados en dos “capas”, es decir, la información básica deberá aparecer directamente en la web (al pie o en una página destinada a ello), mientras que al resto de la información podrá ser consultada por un medio que permita un acceso fácil e inmediato, por ejemplo, un enlace.
La información básica que deberá facilitarse en la primera capa comprende (como mínimo): la identidad del responsable del tratamiento, la finalidad del tratamiento de los datos (actividades de marketing, gestión de pedidos, etc.), la legitimación del tratamiento (es decir, la base jurídica, de las previstas en el artículo 6 RGPD, que lo justifica), los destinatarios a los que se comunicarán los datos, y la posibilidad de ejercer los derechos reconocidos en los artículos 15 a 22 del Reglamento (acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición, y derecho a no ser objeto de decisiones individuales automatizadas). Además, deberá incluirse un enlace a la información de segunda capa.
En la segunda capa deberán facilitarse los datos de contacto del responsable del tratamiento, los datos identificativos del delegado de protección de datos, si lo hubiere, la finalidad del tratamiento (con mayor detalle), el plazo de conservación de los datos, la realización o no de transferencias internacionales de datos, la forma en la que podrán ejercerse en la práctica los derechos de los interesados, el derecho de los interesados a reclamar ante la Agencia Española de Protección de Datos (AEPD) si consideran vulnerados sus derechos y, finalmente, deberá informarse también sobre si los datos recogidos serán tratados de forma automatizada para la elaboración de perfiles.
Por otro lado, lo más normal es que los empresarios digitales instalen en sus páginas web cookies con diversas finalidades (técnicas, de personalización, de análisis, publicitarias). Las cookies recogen información sobre la navegación de los usuarios de la página web, incluyendo datos personales, por lo que también respecto a ellas deben cumplirse las exigencias de la legislación de protección de datos.
Para ello, en la página web debe contarse con otro texto legal, la política de cookies, en la que se informe a los usuarios de las cookies instaladas en la web, los datos que recogen y para qué los recogen, el plazo de conservación de los datos, la legitimación legal para llevar a cabo este tratamiento de datos personales, las cesiones de datos que pudieren realizarse y los derechos de los usuarios respecto de sus datos. Es decir, toda la información que conforme el RGPD debe comunicarse a los interesados por el tratamiento de sus datos, pero esta vez referida específicamente a los datos personales recopilados a través de las cookies.
Además, en la política de cookies deberá explicarse la forma de desactivar o bloquear las cookies. Esto es especialmente importante cuando la base jurídica del tratamiento sea el consentimiento del interesado (un supuesto muy común), pues el artículo 7.3 RGPD dispone que “el interesado tendrá derecho a retirar su consentimiento en cualquier momento”.
Por último, si a través de la web se permite la compra de productos o servicios, también deberán redactarse unas condiciones generales de compra, que regularán las relaciones entre la empresa y sus clientes por los productos o servicios contratados. Este contrato deberá ser redactado teniendo en cuenta las disposiciones de la Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación (LCGC). Así mismo, por imperativo de la LSSICE, los precios de los productos y servicios deberán ser expresados de forma clara y exacta, indicando si los impuestos y los gastos de envío están o no incluidos.
En adición a lo anterior, si la empresa digital va a vender sus productos o prestar sus servicios a consumidores (y no a otras empresas), deberá tenerse en consideración, además, la Ley General para la Defensa de los Consumidores y Usuarios (1/2007, de 16 de noviembre, TRLGDCU), que establece una serie de derechos de los consumidores y obligaciones de los empresarios. En especial, por lo que se refiere a la redacción de los términos y condiciones, deberá tenerse presente el artículo 102 de la citada ley. Este artículo establece el derecho de los consumidores a desistir del contrato celebrado, en el plazo de 14 días desde su celebración, sin necesidad de indicar motivo alguno para ello. En los términos y condiciones deberá hacerse constar la existencia de este derecho, el modo de su ejercicio y, también, las excepciones en las cuales el consumidor no podrá ejercerlo.
Llegado este punto, después de que la empresa haya adoptado la forma jurídica más apropiada, tras haberse dotado de la marca o marcas necesarias para distinguir sus productos en el tráfico comercial y haberlas registrado, tras haber registrado su nombre de dominio, haberse preparado para cumplir las exigencias legales en protección de datos y sociedad de la información, y haber redactado los textos legales necesarios teniendo en cuenta todos los requisitos legales impuestos por las normas aplicables (RGPD, LSSICE, LCGC, TRLGDCU), podremos decir que la nueva empresa digital cumple los requisitos legales básicos para desarrollar su actividad con tranquilidad y seguridad. No obstante, debe considerarse que si la actividad que se va a iniciar es de las sujetas a autorización administrativa (como, por ejemplo, el juego, la sanidad, la seguridad privada…) existen requisitos legales específicos que deberán cumplirse.
El cumplimiento de las obligaciones legales que han sido expuestas a lo largo de estos dos artículos es una condición indispensable para el desarrollo pacífico y satisfactorio de las actividades empresariales que se van a emprender. Por ello, resulta de la máxima importancia contar con el asesoramiento especializado apropiado, de forma que se eviten riesgos y los negocios digitales puedan continuar prosperando sin sobresaltos.
[Artículo escrito por Luis Mª Benito Cerezo]Esta entrada tiene un comentario
Deja una respuesta
Enhorabuena por este artículo. Es el ejemplo de que en Internet los usuarios pueden encontrar recomendaciones e información útil!