Escritorio Formación Información Enlaces externos

Soporte / Información

 Descargar PDF

IdRevisadoAltaArchivos
PROTECCIÓN DE DATOS
28324-05-201731-01-2017Guías de la AEPD sobre la aplicación del GDPR
283 – 24/05/2017 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS

La AEPD publica nuevos materiales sobre el GDPR
La AEPD ha creado una nueva sección específica sobre el nuevo Reglamento europeo GDPR donde ofrece información específica sobre su aplicación.

En esta sección encontrarás Guías, Orientaciones y Directrices que seguro van a ayudar a entender como la Autoridad de control pretende dar a conocer la aplicación del Reglamento.

El 26 de enero ha publicado 3 nuevos materiales (guías), que ya ha incluido en esta nueva sección y que va a ampliar en el futuro, para facilitar a las pequeñas y medianas empresas su adaptaciónla. Acceso a la nota informativa.

Facilitamos un acceso directo a PDF de estas guías:
 Guía del Reglamento General de Protección de Datos para responsables de tratamientoGuía para el cumplimiento del deber de informarDirectrices para la elaboración de contratos entre responsables y encargados del tratamiento
También se pueden consultar todos los temas tratados por la AEPD, en la sección dedicada al REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

 
16924-05-201703-11-2015Correos masivos sin ocultar destinatarios
169 – 24/05/2017 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS
¿Está permitido enviar correos masivos sin ocultar los destinatarios?
Solo se podrán enviar correos electrónicos a más de un destinatario sin poner las direcciones ocultas (COO) cuando los destinatarios hayan dado su consentimiento para tal efecto, o formen un grupo que para conseguir la finalidad del tratamiento deban compartir estos datos.

Por ejemplo:Grupo de comerciales de una empresa.Grupo de jugadores de un equipo deportivo.Grupo de miembros de una Junta directiva.Etc. 
Cuando por error se envían correos masivos a personas físicas sin su consentimiento y sin poner las direcciones ocultas (COO) para que no puedan verlas los otros destinatarios, se está cometiendo una violación de datos y si alguna persona afectada lo denuncia, puede derivar en una sanción económica por falta de protección.
 
Cuando esto suceda, lo mejor es registrar una incidencia en el Documento de seguridad y establecer medidas correctoras, que las hay, con el fin de que no vuelva a ocurrir y así evitar las posibles sanciones en caso de denuncia.
29824-05-201704-03-2017Aplicación del GDPR en Comunidades de propietarios
298 – 24/05/2017 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS
La AEPD publica la guía ‘Protección de datos y administración de fincas’ para facilitar a este sector el cumplimiento de la normativa
Debido a que el tratamiento de datos personales en el ámbito de las comunidades de vecinos constituye uno de los motivos de consulta más frecuentes ante la AEPD, ésta ha elaborado una guía donde recoge la aplicación práctica de la normativa de protección de datos vigente (LOPD), incorporando referencias al nuevo Reglamento Europeo de protección de Datos (GDPR), que será aplicable a partir del 25 de mayo de 2018.

Este documento detalla todas las operaciones de tratamiento que atañen tanto a las comunidades de propietarios como a los administradores de fincas, como encargados de tratamiento de las mismas. En su índice  de contenidos podemos encontrar:

1. Legitimación para el tratamiento de datos
2. Identificación de tratamientos de datos
3.  Registro de actividades de tratamiento
4. El administrador de fincas como encargado del tratamiento
4.1 Responsabilidad
4.2 Encargado del tratamiento
5. Obligaciones de los administradores de fincas derivadas de su actividad específica en el ámbito de las comunidades de propietarios
6.  Obligaciones en materia de seguridad en los tratamientos de datos personales de las comunidades de propietarios
7. Análisis de supuestos específicos
7.1 Impago de los recibos de la comunidad por parte de los propietarios
7.2 Acceso y obtención de copias de la documentación de la comunidad por parte de los propietarios de viviendas en régimen de propiedad horizontal
7.3 Exhibición del libro de actas de la comunidad de propietarios a entidades financieras
7.4 Videovigilancia en comunidades de propietarios regidas por la Ley de Propiedad Horizontal
7.5 Régimen de propiedad vertical
8. Herramientas de ayuda de la Agencia Española de Protección de Datos



Publicado por AEPD enRevista de Prensa – Notas de Prensa – 2017 – 23 de febrero
Acceso directo a la guíaProtección de datos y Administración de fincas

 
24521-06-201701-10-20167 razones para creer en la protección de datos
245 – 21/06/2017 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS
Una nueva cultura de privacidad 
El nuevo Reglamento Europeo de Protección de Datos, Reglamento (UE) 2016/679 de 27 de abril de 2016 (GDPR), que será de aplicación obligatoria el 25 de mayo de 2018, atribuye derechos suficientes a los ciudadanos para administrar sus datos personales frente las empresas u organizaciones que los están usando.

Vamos a ver si es verdad.
 
 1. No podrán usar tus datos sin tu consentimiento
Las empresas van a necesitar tu consentimiento explícito para tratar tus datos personales, eso quiere decir que sin una firma o sin una acción activa (acepto, en medios electrónicos) el tratamiento de datos sería ilícito.

Y esto no será suficiente. Además, y siempre antes de dar el consentimiento, te deberán informar de forma clara y transparente del uso previsto para tus datos (no valdrá una pequeña cláusula al final de un documento):
 Para qué finalidad se van a usarCuanto tiempo los van a tenerA quién los van a comunicar 

Si estás conforme con la información facilitada, podrás dar tu consentimiento a sabiendas que en cualquier momento lo podrás revocar. Y, a tener muy en cuenta, la empresa deberá propiciar mecanismos para que te sea tan fácil retirar el consentimiento como el haberlo dado.
 
 2. Deberán proteger tus datos
Las empresas están obligadas a implementar medidas de seguridad adecuadas para proteger tus datos contra usos no autorizados o ilícitos y prevenir su pérdida, destrucción o daño accidentales.

El GDPR impone que se deben proteger los datos desde el diseño y por defecto en todas las operaciones realizadas con tus datos: obtención, acceso, intervención, transmisión, conservación y supresión.

Cuando la empresa haya tenido un fallo en la seguridad que constituya un riesgo para tus derechos o tus libertades, estará obligada a notificarlo en un máximo de 72 horas a la Autoridad competente en protección de datos. Esta Autoridad le impondrá medidas correctivas para remediar y mitigar los efectos ocasionados, y en caso de reiteración podrá sancionarle por negligencia.

En fallos graves de seguridad con un alto riesgo de protección de datos, la Autoridad de control podrá obligar a la empresa a comunicarlo directamente a las personas afectadas o a emitir una comunicación pública que sea igualmente efectiva para informarlos.
 
 3. Tus datos son confidenciales
Las empresas, por el simple hecho de tratar tus datos, se hacen responsables de su uso y su conservación.

El Reglamento obliga a las empresas a firmar acuerdos de confidencialidad con sus empleados, directivos, voluntarios o cualquier persona a su cargo que tenga o pueda tener acceso a tus datos.

De la misma manera, si ceden tus datos a otras empresas para que los usen para alcanzar el fin por la cual le has dado el consentimiento, también deberán firmar los respectivos contratos que garanticen la protección de tus datos y el secreto profesional de sus empleados.
 
 4. Tienes derecho a que te informen del uso de tus datos
En todo momento puedes solicitar a cualquier empresa si está o no tratando datos tuyos. Con solo enviar una carta o un correo electrónico solicitando tu derecho de acceso, deberán comunicarte en un máximo de 30 días la siguiente información:
 El tipo de datos personales (tuyos) que obran en su poderComo los han obtenidoPara qué finalidad se usanCuanto tiempo tiene previsto tenerlosA quién tiene previsto comunicarlosTodos los derechos que tienes sobre tus datos: acceso, rectificación y supresión de tus datos y limitación u oposición a su uso. 

 5. Puedes ejercer el derecho al olvido
Cuando creas que tus datos ya no sea necesario que los use una determinada empresa, podrás solicitar que los suprima definitivamente. De la misma manera que el derecho de acceso, con solo enviar una carta o un correo electrónico solicitándolo deberán responderte, en un máximo de 30 días, indicándote que han procedido a la supresión de tus datos o, si no fuera posible, en qué motivos lícitos se basan para no hacerlo.

El ejercicio de este derecho conlleva que, la empresa en cuestión, tenga la obligación de dirigirse a todas las empresas que haya comunicado previamente tus datos para que procedan del mismo modo, salvo que sea imposible o exija un esfuerzo desproporcionado.
 
 6. Tienes derecho a reclamar y a recibir una indemnización
Si consideras que el uso de tus datos personales no se ajusta a lo dispuesto en el Reglamento, podrás presentar una reclamación ante la Autoridad de control (Agencia Española de Protección de Datos – AEPD), la cual facilita un formulario para este fin en su página web (agpd.es). Y si la AEPD no da curso a tu reclamación o no te ha informado en 3 meses, podrás interponer un recurso judicial efectivo contra de la misma.

También tendrás derecho a recibir una indemnización si la empresa responsable del uso de tus datos vulnera el Reglamento y, como consecuencia de ello, sufres un perjuicio material o inmaterial.

Debes saber que el incumplimiento del Reglamento GDPR puede representar para los responsables del uso de tus datos unas sanciones económicas muy elevadas, pudiendo llegar hasta 20.000.000 €  o al 2% de su facturación anual.
 
 7. Europa, la única garantía para que tus datos se usen correctamente
Todo lo expuesto anteriormente parace muy bonito, pero la pregunta siempre es la misma: ¿cómo puedo yo enfrentarme a las grandes corporaciones o multinacionales?

Para muestra un botón: una simple denuncia de un abogado austríaco, Max Schrems, interpuesta ante el Tribunal de Justicia de la UE contra Facebook, que cuestionaba el traspaso automático de datos personales hacia servidores de EEUU, hizo que el 6 de octubre de 2015 declarara nulo un acuerdo de 15 años de antiguedad, que la misma UE estableció con EEUU para este tipo de transacciones, obligándose a suscribir un nuevo acuerdo (Privacy Shield) entre las dos administraciones que garantizará que cumpla con el GDPR.

El nuevo Reglamento europeo de Protección de Datos (GDPR) pretende consolidar una verdadera cultura de privacidad en nuestro tejido empresarial. Lo que hasta ahora era simplemente una obligación legal para las empresas, deberá convertirse en una práctica habitual que tenga el objetivo de proteger los datos personales y posibilite a las personas que los ceden para su tratamiento, el ejercicio de sus derechos para el control de los mismos.

El GDPR se aplicará a partir de mayo de 2018 a todos los estados de la UE por igual y garantizará que puedas ejercer tus derechos ante cualquier empresa u organización que use tus datos personales, ya que será de obligado cumplimiento para todas ellas, estén o no ubicadas en la UE.


 
20824-05-201717-03-2016Un autónomo, usuario o encargado del tratamiento
208 – 24/05/2017 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS
Relación de un autónomo con el Responsable del tratamiento
La LOPD obliga a los Responsables del tratamiento a establecer acuerdos de confidencialidad con todas las personas físicas, sean empleados o no, que realizan tratamientos de datos personales de su responsabilidad.

Para ello, los Responsables pueden suscribir los acuerdos de confidencialidad de dos formas:
 Directamente con la persona (usuario).Indirectamente como Encargado del tratamiento .
En el primer caso existe un compromiso directo con la persona, la cual deberá realizar el tratamiento siguiendo las instrucciones del Responsable que le serán detalladas en el acuerdo de confidencialidad. Un usuario puede ser un empleado, socio, voluntario, etc., incluso un autónomo si este no delega el tratamiento en otras personas a su cargo.

En el segundo caso, el Responsable se asegurará del compromiso de confidencialidad con el autónomo mediante un contrato de prestación de servicios de Encargado del tratamiento, donde también se detallará que deberá realizar el tratamiento siguiendo las instrucciones del Responsable, las cuales deberán incluir que el personal autorizado para realizar el tratamiento se haya comprometido a respetar la confidencialidad. De esta manera el autónomo podrá delegar el tratamiento a otros usuarios que estén a su cargo.

Con estas dos posibilidades, el Responsable del tratamiento puede elegir el tipo de de relación que va a establecer con un autónomo, siendo las dos opciones válidas para autorizar el tratamiento.
 Y cuando un Encargado de tratamiento subcontrata un autónomo
Este es el caso donde puede tener más relevancia la elección del tipo de acuerdo. Al ser una subcontratación, el Encargado del tratamiento debería obtener la autorización del Responsable para subcontratar el servicio. Esta autorización se puede efectuar de dos formas:
 Con una autorización expresa del Responsable del tratamiento para la subcontratación del servicio. Esta opción sería la elegida cuando el autónomo pueda tener empleados a su cargo. El Encargado deberá suscribir un contrato de subencargado con el autónomo.Con un acuerdo de confidencialidad de usuario entre el Encargado de tratamiento y el autónomo. Esta opción sería la más deseable cuando el autónomo no tiene empleados a su cargo, ya que no precisará de la autorización expresa del Responsable para subcontratar el servicio y no será necesario informarle de este hecho.
25821-06-201726-09-2016Consulta de privacidad: el cliente es un interesado o Encargado del tratamiento
258 – 21/06/2017 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS
Consulta:
¿Qué hacer firmar cuando un cliente nos trae un dispositivo a reparar, o le vendemos uno nuevo?
Somos una empresa de servicios técnicos (SAT) que vende y repara equipos informáticos y teléfonos móviles, tanto de particulares como de empresas.

Hasta ahora hacemos firmar un contrato de Encargado de tratamiento con los clientes porque consideramos que estamos tratando sus datos, pero nos resulta muy engorroso hacerlo y en muchos casos prescindimos de ello para evitar tanto papeleo y desconfianza del cliente.

La pregunta:

Aunque suponga generar unas condiciones para las reparaciones bastantes más extensas que las actuales y que, en muchos casos no serían de aplicación (si el ordenador no contiene datos personales, por ejemplo), ¿podríamos añadir las cláusulas correspondientes al tratamiento y el encargo a esas condiciones y pedir que las firme el cliente y así no tener que generar los contratos?

 Respuesta
El SAT debe tener en cuenta que las reparaciones se hacen a un cliente final, por lo que las hace a una persona física, o sea, empleando el término del GDPR, a un INTERESADO. Al INTERESADO solo le debe hacer firmar el consentimiento explícito para tratar sus datos y guardar el documento para poder demostrarlo. El INTERRSADO debería comunicar al SAT si el dispositivo contiene datos personales y la categoría de los mismos para que le aplique las medidas de seguridad adecuadas que dispone la normativa en protección de datos.

En el caso que el cliente final sea una EMPRESA, el SAT será Encargado del tratamiento de esta EMPRESA, nunca al revés.

La EMPRESA, en este caso, será Responsable del tratamiento y la responsabilidad de hacer firmar el contrato de Encargado al SAT es suya. De la misma manera que con un cliente persona (INTERESADO), la EMPRESA debería comunicar al SAT el tipo de datos que contiene el dispositivo para que se le apliquen las medidas de seguridad correspondientes. Si la EMPRESA no le indica al SAT que va a tratar datos personales, el SAT no tiene porque preveerlo, ya que la obligación de informar siempre recae en el Responsable del tratamiento, o sea en la EMPRESA cliente.

Consejo para que todo esto sea viable:

Cuando se tiene una relación estable con la EMPRESA como cliente habitual del SAT, es aconsejable, si la EMPRESA no ofrece el contrato, facilitárselo (Contrato de Empresa Cliente, ya que tratamos sus datos), así con una firma se podrán realizar todos los servicios legalmente sin volver a firmar nada más.

Cuando no existe relación habitual con la EMPRESA y solo se realiza una reparación o venta puntual, se les podría considerar como cliente final, o sea, como INTERESADO y tomar los datos de la persona a la cual le ofrecemos el servicio como tal, eso sí, firmando el consentimiento explícito correspondiente, aunque facturemos a una empresa.

 Consideraciones sobre el consentimiento explícito
Cabe recordar que un consentimiento firmado por un interesado es suficiente para tratar sus datos de por vida mientras no lo revoque expresamente, y no es necesario volver a pedírselo en cada servicio, ni informarle del tratamiento si no lo pide expresamente.

Para ello, lo mas cómodo y aconsejable, es que el programa de gestión comercial contenga un ítem donde informe si está o no firmado el consentimiento, facilitando automáticamente el documento de consentimiento en el caso que no lo tuviésemos. 

Eso es mucho pedir, pero es en lo que se basa el tan nombrado «desde el diseño y por defecto» del GDPR. 

También se debería programar en la aplicación de gestión comercial una función para permitir revocar el consentimiento, ya que el Reglamento dispone que debe ser «tan fácil retirar el consentimiento como el haberlo dado», y si llegara el caso, imprimir el documento de revocación y quitar la selección de «firmado» antes descrita.»
 
21224-05-201723-03-2016Videovigilancia en el trabajo
212 – 24/05/2017 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS
El Pleno del Tribunal Constitucional avala la instalación de cámaras en el trabajo sin consentimiento del empleado, si son para controlar el cumplimiento del contrato
Según la sentencia de 3 de marzo de 2016 del Pleno del tribunal Constitucional, se podrán realizar grabaciones de videovigilancia en el ámbito laboral cuando la finalidad responda al control del cumplimiento del contrato de trabajo para medidas específicas que no vulneren el derecho fundamental a la propia imagen o a la intimidad personal establecidos en los artículos 18.4 y 18.1 CE.
 
Esto puede servir para controlar irregularidades del contrato cuando se tengan sospechas fundadas, por ejemplo la sustracción de dinero de caja, como ha sido el caso de la sentencia.
 
Para ello, el Tribunal ha estimado que las medidas aplicadas en este sentido deben ser:
 Adecuadas: proporcionalidad de la medida de vigilancia.Justificadas: que existan sospechas razonables de incumplimiento de contrato.Idóneas: para verificar las irregularidades sospechadas.Necesarias: para probar tales irregularidades.Equilibradas: limitación de la grabación a la zona de sospecha. 
La grabación de imágenes se considera un tratamiento de datos de carácter personal según la LOPD, por lo cual debe existir el consentimiento de los trabajadores para la grabación. La misma LOPD dispensa de la obligación de obtener el consentimiento del afectado en el ámbito laboral cuando “el tratamiento de datos de carácter personal sea necesario para el mantenimiento y el cumplimiento del contrato firmado por las partes”. Por ello, no será necesario ni el consentimiento ni la información previa al trabajador, siempre y cuando exista un distintivo informativo de videovigilancia normalizado en un lugar visible del acceso al establecimiento.
 
Solo será necesario recabar el consentimiento de los trabajadores afectados cuando los datos se utilicen con una finalidad ajena al cumplimiento del contrato.
 
El Tribunal afirma que, de acuerdo con la LOPD, “el empresario no necesita el consentimiento expreso del trabajador para el tratamiento de las imágenes”; y argumenta que el Estatuto de los Trabajadores atribuye al empresario la facultad de dirección, lo que le permite “adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana”.  Por tanto, concluye, “el consentimiento se entiende implícito en la propia aceptación del contrato”.
 
Puede consultarse la nota de prensa de donde se ha obtenido esta información en:
http://www.tribunalconstitucional.es/es/salaPrensa/Documents/NP_2016_023/2013-07222STC.pdf
 
Puede consultarse el texto de la sentencia en:
http://www.tribunalconstitucional.es/es/salaPrensa/Documents/NP_2016_023/2013-07222STC.pdf
21106-03-201818-03-2016Empresas de destrucción de documentos
211 – 06/03/2018 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS
Encargados de tratamiento o Prestadores de servicios sin acceso a datos
¿Como debe considerarse una empresa que, teóricamente, no trata datos, o no tiene permiso para tratarlos ni para acceder a ellos (gestora de residuos, destrucción de documentos, etc.)?,  como Encargado de tratamiento o simplemente como Prestador de servicios sin acceso a datos (limpieza, electricista, extintores, etc.).

Un tratamiento es cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, restricción, supresión o destrucción.

Un Responsable del tratamiento es una persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento.

Un Encargado de tratamiento es una persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del tratamiento.

Un Prestador de servicios sin acceso a datos personales es una persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, realice trabajos para el Responsable del tratamiento que no impliquen el tratamiento de datos personales.
 
Por lo que se describe en la definición de tratamiento, la destrucción de documentos corresponde a una operación realizada sobre datos personales. Si este servicio se realiza por cuenta de Responsable, la empresa en cuestión será un Encargado del tratamiento.

Cabe recordar que cualquier relación entre empresas o profesionales que comporte un tratamiento de datos personales (ver definición) debe formalizarse mediante un contrato donde se detallen todas las instrucciones y obligaciones legales del encargo.
 
En el caso de contratar empresas Prestadoras de servicios sin acceso a datos, se debe tener muy en cuenta la posibilidad que se pueda realizar un tratamiento de datos (ver definición). Es muy recomendable con este tipo de empresas, formalizar contratos que especifiquen expresamente la prohibición de acceder a datos personales y la obligación de confidencialidad para el personal que pueda acceder a ellos de manera accidental o fortuita.
28206-03-201828-01-2017Consulta de privacidad: Podemos facilitar datos personales a la empresa que nos diseña la página web
282 – 06/03/2018 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS
Consulta: En breve empezaremos a trabajar con una empresa que nos está haciendo una página WEB para e-commerce. Para ello le cederemos datos de clientes y por lo tanto no sé si se tiene que registrar de alguna forma esta cesión de datos. Lo que sí que me han pasado es su contrato de confidencialidad, que no se si debemos firmar por qué no hace ninguna referencia a la LOPD. 
Las empresas deberían prestar mucha atención al contratar servicios que incluyen el tratamiento de datos personales, ya que como Responsables del tratamiento, cualquier incidencia relativa a la protección de datos, deberán poder demostrar que han actuado siguiendo las disposiciones del Reglamento.
 
La empresa que nos está haciendo la página web será un Encargado de tratamiento y antes de firmar ningún contrato de servicios, se debería comprobar que ofrece suficientes garantías de protección de datos para:
 Implementar políticas técnicas y organizativas apropiadas para cumplir el Reglamento.Proteger los derechos de los interesados (clientes).Aplicar las medidas de seguridad que establece el Reglamento (Documento de seguridad). 
En el caso que se pueda comprobar que ofrece suficientes garantías se formalizará un contrato de Encargado de tratamiento con las cláusulas obligatorias que dispone el Reglamento.
 
Para facilitar datos personales a Encargados de tratamiento se deberán cumplir estas dos premisas -Garantías y Contrato- y para demostrarlo se deberá guardar la documentación que  lo certifique.


 ¿Cómo demostrar que se ofrecen suficientes garantías?
1) Comprobar si tienen ficheros inscritos en la AEPD. Si tienen ficheros inscritos, podemos suponer que la empresa está adaptada a la LOPD. Si no tiene ningún fichero inscrito ya delata que no ofrece suficientes garantías, lo cual nos obliga a no facilitarle ningún dato de carácter personal. Para asegurarnos, basta con poner el NIF/CIF en el registro público de la AEPD: http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php

2) Obtener un certificado de cumplimiento de la LOPD. Es el mejor método para poder demostrar que ofrece suficientes garantías, ya que nuestros recursos no nos permiten saber con exactitud si cumplen o no la normativa vigente en protección de datos. Un certificado de cumplimiento lo deberá emitir el Encargado del tratamiento y contendrá, como mínimo:La identificación y datos de contacto del Encargado de tratamiento y de su representante legal.La normativa jurídica en que se basa el certificado (LOPD, RDLOPD o GDPR).Que cumple con todas las disposiciones que le afecta dicha base jurídica.Que cumple explícitamente con los principios descritos en el artículo 4 de la LOPD o 5 del GDPR.Que garantiza que ha implementado políticas técnicas y organizativas apropiadas para aplicar las medidas de seguridad que establece la base jurídica mencionada.3) Otros mecanismos de certificación aprobados por la Autoridad de control: sellos y marcas de protección de datos, adhesión a códigos de conducta y normas corporativas vinculantes.
 

 ¿Cómo redactar un contrato de Encargado de tratamiento?
La relación entre el Responsable y el Encargado del tratamiento se regirá por un contrato, preferiblemente en formato electrónico, donde se especificarán sus respectivas funciones y se disponga:
 El objeto, duración, naturaleza y finalidad del tratamiento.El tipo de datos personales y categorías de interesados.Las obligaciones y derechos del Responsable del tratamiento.Que se realizará el tratamiento siguiendo las instrucciones documentadas del Responsable del tratamiento, incluyendo las transferencias de datos a terceros países u organizaciones internacionales.Que el personal autorizado para realizar el tratamiento se haya comprometido a respetar la confidencialidad o tengan la obligación legal de confidencialidad.Que se implementarán las medidas de seguridad que establece el Reglamento y cooperará con el Responsable del tratamiento para garantizar su cumplimiento.Que no se podrá subcontratar el servicio a otro Encargado del tratamiento sin la autorización previa y por escrito del Responsable del tratamiento.Que se crearán las condiciones técnicas y organizativas necesarias para permitir al Responsable del tratamiento dar curso a las solicitudes de los derechos de los interesados.Que al término del contrato suprimirá o devolverá, a elección del Responsable del tratamiento, los datos tratados y eliminará las copias existentes, excepto si lo prohíbe la legislación vigente.Que pondrá a disposición del Responsable del tratamiento la información necesaria para demostrar el cumplimiento del contrato, permitiendo inspecciones o auditorías.Que el Encargado del tratamiento será considerado Responsable del tratamiento, y estará sujeto a las normas aplicables como tal, cuando determine por su cuenta los fines y los medios del tratamiento. 
 ¿Debemos firmar el contrato o acuerdo de confidencialidad que nos entregue nuestro proveedor de servicios? 
Antes de firmar ningún contrato deberemos leerlo detenidamente para asegurarnos que incorpora las cláusulas antes mencionadas. Si no lo vemos muy claro, lo aconsejable es facilitarselo a nuestro consultor de privacidad para su correcta evaluación. Lo mejor en estos casos es que nosotros facilitemos el contrato de Encargado de tratamiento previamente validado por nuestro consultor/asesor, ya que somos los Responsables y como tales los que estamos obligados a ello.
 
Se debe distinguir entre un CONTRATO DE SERVICIOS, donde se describen los detalles técnicos y precios del servicio contratado, de un CONTRATO DE ENCARGADO, donde se reflejan las instrucciones para el tratamiento de datos personales. Lo más recomendable es que ambos contratos se formalicen y firmen por separado para que los compromisos adquiridos por ambas partes sean más transparentes y no dé lugar a dudas sobre la finalidad de cada contrato.


 
28621-06-201702-02-2017Consulta de privacidad: Adaptación de una guardería
286 – 21/06/2017 – SOPORTE / INFORMACIÓN / PROTECCIÓN DE DATOS
Consulta: ¿para adaptar una guardería se puede crear un solo fichero de nivel alto, denominado GESTIÓN ESCOLAR, donde la finalidad es educación y gestión escolar y los colectivos de interesados alumnos, padres o tutores, profesores, monitores y contactos, en vez de crear un fichero para cada colectivo? 

Un fichero es un conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.
 
La finalidad y los medios de tratamiento determinan si se pueden integrar los datos en un mismo fichero o en varios.
 
El fichero GESTIÓN ESCOLAR puede contener datos de todos los colectivos mencionados, de la misma forma que la GESTIÓN COMERCIAL de una empresa puede contener datos de proveedores, clientes, contactos, fiscal y contable, marketing, etc. Pero las finalidades son distintas y el cumplimiento de los principios del tratamiento también serán distintos para cada caso.
 
El fichero GESTIÓN ESCOLAR solo debería contener los datos de alumnos y padres o tutores. Los datos de profesores, monitores no tienen nada que ver con la gestión escolar. Estos datos deberían incluirse en otros ficheros como EMPLEADOS (o si se quieren distinguir de los empleados no docentes, PROFESORES Y MONITORES). Los contactos no los vemos en ningún caso en la gestión escolar.
 
Aunque la gestión escolar de la guardería incluyera los datos de estos colectivos, como los referidos a temas de evaluación o comportamiento de los alumnos, también estarán en otros ficheros con una finalidad distinta.
 
Para nuestro proceder, los ficheros que debería crear una guardería son:
 GESTIÓN ESCOLAR sería la matrícula, asistencia, horarios, evaluaciones, etc. todo lo que corresponde a la gestión escolar propiamente dicha. A tener en cuenta que las guarderías deben facilitar datos de la gestión escolar al departamento de educación del Gobierno (autonómico o estatal, según el caso), o sea que son unos datos que obliga a gestionar la administración y que requieren una estructura específica, generalmente son formularios e informes reglados que no permiten personalización.ALUMNOS, aunque podría estar sin ningún problema integrado en gestión escolar, lo diferenciamos porque los datos identificativos se pueden usar para finalidades de administración sin tener nada que ver con la gestión escolar, por ejemplo en recepción, para control de monitores, listados, etc. lo que quiere decir que este fichero solo serviría para la identificación del alumno.ALUMNOS SALUD se refiere a los alumnos con problemas sanitarios, dietas, enfermedades, etc. No tiene nada que ver con la gestión escolar. Y además son datos de salud, lo que exige cumplir las disposiciones que afectan a categorías especiales de datos.PROFESORES Y MONITORES podrían estar incluidos en el fichero de empleados, pero si se realiza un tratamiento diferenciado (distinta finalidad de la relación laboral), se debería crear este fichero específico.IMÁGENES se refiere a los audiovisuales que pueda producir la guardería. La finalidad es distinta, ya que un padre puede decidir que no se hagan fotos de sus hijos, y además el consentimiento debe ser explícito y diferenciado de los demás para tratar imágenes. Este fichero debe incluir cualquier colectivo de interesado (alumnos, padres, profesores, monitores, colaboradores, etc.) que asista a las actividades.CONTACTOS son las personas que puedan comunicarse con la guardería pero no tienen por qué pertenecer a la gestión escolar (posibles padres, alumnos, profesores, monitores o personas que solicitan información, etc.)CAMPUS tampoco se refiere a la gestión escolar, ya que esta actividad está abierta a otros colectivos y generalmente se realizan en vacaciones. 
Cabe señalar que existirán otros ficheros no relacionados con la gestión escolar, que también deberán crearse, pero que como no tienen que ver con ella ya no se detallan, por ejemplo EMPLEADOS, CLIENTES, FISCAL Y CONTABLE, VIDEOVIGILANCIA, etc.
 
A modo de resumen, una misma persona (interesado) podría ser objeto de varios tratamientos (ficheros), ya que la finalidad y los medios de tratamiento varían para cada uno de ellos, pero en un mismo fichero no podemos incluir todo el tratamiento de la guardería, ya que los principios del tratamiento se deberían especificar y demostrar para cada tipo de tratamiento (fichero) y esto aún haría más complejo el cumplimiento del Reglamento.

 
DATOS PERSONALES
21924-05-201715-03-2016El derecho al olvido en Google
219 – 24/05/2017 – SOPORTE / INFORMACIÓN / DATOS PERSONALES

Ejercer el derecho al olvido en el motor de búsqueda de Google
El Tribunal Supremo ha considerado que  Google Inc., la central de Google en California, es el Responsable del tratamiento del motor de búsqueda Google, ya que determina los fines y los medios de esta actividad y le corresponde garantizar que el tratamiento se ajusta a los principios y condiciones de la normativa reguladora, asumiendo así las correspondientes obligaciones al respecto.

Google Spain presentó un recurso contra las decisiones de la AEPD que resolvian diversos procedimientos de tutela de derecho al olvido que se le habían presentado, haciéndoles Responsable del tratamineto y exigiendoles la exclusión de las informaciones relativas a los interesados e impedir su captación por el motor de búsqueda Google.

En consecuencia, cualquier persona que desee ejercitar su derecho al olvido en las búsquedas de Google ya sabe donde dirigir la sol·licitud. El caso es que Google Inc. esta establecida en California (EEUU) y hoy por hoy no es possible ejercer este derecho con empresas nord-americanas ya que la normativa europea y española en protección de datos no les afecta.

El nuevo Reglamento Europeo de Protección de Datos (General Data protection Regulation – GDPR) incidirá notablemente en casos como este , ya que cualquier empresa internacional que trate datos de ciudadanos europeos, esté ubicada en la UE o no, deberá cumplir el Reglamento y atenerse a las sanciones que puedan generarse por su incumplimiento.

Este articulo se basa en una comunicación del Poder Judicial. Puede verse el contenido original en:

http://www.poderjudicial.es/cgpj/es/Poder-Judicial/Noticias-Judiciales/El-TS-estima-el-recurso-de-Google-Spain-contra-reclamaciones-de–derecho-al-olvido–por-no-gestionar-el-motor-de-busqueda-
27924-05-201726-01-2017Guía para borrar tus cuentas en las Redes Sociales
279 – 24/05/2017 – SOPORTE / INFORMACIÓN / DATOS PERSONALES
Una guía completa para salir de Facebook, Google, Instagram, Twitter y Snapchat
Cómo borrar todas tus cuentas de redes sociales



LA VANGUARDIA TECNOLOGIA
MARIA RUBAL THOMSEN, Barcelona
16/01/2017 10:12 | Actualizado a 16/01/2017 13:40
21724-05-201714-03-2016Eliminar fotos o vídeos de internet
217 – 24/05/2017 – SOPORTE / INFORMACIÓN / DATOS PERSONALES
Tenemos derecho a eliminar nuestras fotos o vídeos de internet
Cualquier persona tiene derecho a eliminar fotos o vídeos de internet si le afectan individualmente ya que las imágenes que pueden identificar a una persona se consideran datos personales y el tratamiento de las mismas está contemplado en la LOPD.

El derecho a la cancelación de datos personales permite a los interesados dirigirse al Responsable del tratamiento para ejercerlo, y este debe responder al mismo en un plazo máximo de 10 días a partir de la recepción de la solicitud. La solicitud solo puede realizarla la persona afectada o, en caso de tratarse de menores de 14 años, sus padres o tutores legales. 

Para solicitar la eliminación de las imágenes se debe tener en cuenta si el interesado ha dado previamente el consentimiento para su publicación. Si fuera el caso, la solicitud estaría dirigida primero a revocar el consentimiento y después a cancelar el tratamiento.

En el caso de no existir el consentimiento previo para la publicación de imágenes, la solicitud estaría dirigida directamente a cancelar el tratamiento (suprimir las imágenes).
 ProcedimientoContactar con la empresa u organismo (Responsable del tratamiento) que está difundiendo las imágenes, acreditando la identidad del afectado e indicando los enlaces que contienen las fotos o vídeos que se desean suprimir.

Si el Responsable del tratamiento no responde a la solicitud de forma expresa en un plazo de 10 días, o si se considera que la respuesta es insatisfactoria, se puede interponer una reclamación de tutela ante la AEPD. Para ello, es muy importante conservar la documentación acreditativa de haber solicitado el derecho de cancelación ante el Responsable del tratamiento, ya que si no se puede demostrar que se ha efectuado la solicitud, la AEPD no podrá resolver el caso.
 Redes socialesEn el caso de querer eliminar imágenes en las redes sociales es recomendable contactar con quien subió el contenido solicitándole su eliminación.
Si esto no fuera posible, o no produjera el resultado deseado, las redes sociales más populares  disponen de mecanismos para comunicar las vulneraciones de privacidad o contenidos inapropiados mediante sus propios formularios. En la página de la AEPD donde se ha recogido esta noticia se detallan algunos métodos que ofrecen Facebook, Google, Twitter e Instagram:

https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/eliminar_fotos_videos/index-ides-idphp.php
27824-05-201726-01-2017Cómo evitar que WhatsApp pueda ser leído
278 – 24/05/2017 – SOPORTE / INFORMACIÓN / DATOS PERSONALES
Un experto descubre que el sistema puede generar nuevas claves de cifrado y acceder al contenidoDescubren que los mensajes de WhatsApp pueden ser leídos: así se puede evitar


EL PAÍS DIGITAL
JOSÉ MENDIOLA ZURIARRAIN
13 ENE 2017 – 19:55 CET
30024-05-201707-03-2017Lista Robinson: El derecho a no recibir publicidad
300 – 24/05/2017 – SOPORTE / INFORMACIÓN / DATOS PERSONALES
Podemos inscribirnos gratuitamente en la Lista Robinson para no rebir publicidad
La AEPD ha publicado en su blog un nuevo artículo sobre como ejercer el derecho a no recibir publicidad. En el se detallan las dos formas que la LOPD nos permite oponernos a que se traten nuestros datos con fines comerciales:

 1. Dirigiendo una solicitud a quien está utilizando los datos con fines publicitarios (artículo 30.4 LOPD)
Normalmente para casos en los que nuestros datos hayan sido obtenidos de fuentes accesibles al público (por ejemplo, las guías telefónicas) o cuando hayamos dado el consentimiento para ello: “… los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud”.

 2. Registrando en un denominado “fichero de exclusión publicitaria” los datos que no queremos que se utilicen para enviarnos publicidad (artículo 49.1 RDLOPD)
En España sólo existe un fichero de este tipo denominado la Lista Robinson y gestionado de forma independiente por la Asociación Española de Economía Digital. Según el artículo 49.1  “… datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad”.

La Lista Robinson es un servicio gratuito que permite seleccionar el medio publicitario (teléfono, publicidad postal, etc.) a través de los cuales no queremos recibir publicidad. Estarían excluidos los casos en los que nosotros mismos hayamos autorizado a una empresa a enviarnos publicidad. En este último caso, si quisiéramos oponernos a que nos la enviaran deberíamos dirigirnos directamente a la empresa.

 Enlaces relacionados Tengo derecho a no recibir publicidad ¿Qué es la Lista Robinson?  Publicado por AEPD – Blog – 28/02/2017Listas Robinson de exclusión publicitariaAsociación Española de Economía Digital
20521-06-201705-02-2016Es legal la grabación de conversaciones
205 – 21/06/2017 – SOPORTE / INFORMACIÓN / DATOS PERSONALES

Para que la grabación de una conversación sea legal se deben tomar en consideración varios derechos que afectan a las personas que intervienen en la misma:
 El derecho a la intimidad: cuando el tema de conversación traspasa el ámbito estrictamente laboral o comercial y contiene referencias a la vida personal o familiar.El secreto de las comunicaciones: cuando la persona que graba la conversación participa o no en la misma, grabación propia o de terceros.La protección de los datos personales: cuando la grabación es efectuada por una empresa u organización para fines legítimos como responsable del tratamiento de datos.
Es legal la grabación de conversaciones propias en las que uno (quien graba) interviene en la misma, aunque el resto de participantes no lo sepa o no esté de acuerdo, por lo que no será necesario informarles de ello. Estas grabaciones incluso se pueden utilizar legalmente para la defensa de los intereses legítimos de quien las realiza.
 
No es legal grabar conversaciones de terceros en las que uno no es partícipe. En este caso debe informarse al resto de participantes y obtener su consentimiento. Es imprescindible que el consentimiento esté recogido claramente en la misma grabación como prueba fehaciente del mismo.

En ningún caso es legal grabar conversaciones íntimas que contengan explicitamente referencias a la vida personal o familiar sin el consentimiento del interlocutor.
 
Las grabaciones telefónicas efectuadas por empresas como parte del tratamiento de datos personales son legales si se obtiene el consentimiento inequívoco de la persona afectada, debiendole informar de la finalidad de la grabación y de los derechos que tiene sobre su tratamiento. Si la empresa ha obtenido el consentimiento con anterioridad medinate la firma de la persona afectada en algún proceso del tratamiento, no será necesario obtenerlo ni informarlo en el momento de la grabación. En caso contrario deberá informarse del mismo en el principio de la grabación.

Como que las grabaciones de conversaciones teléfonicas tienen una finalidad distista de la habitual en un tratamiento de datos (contactos, clientes, socios, atención al público, etc.) se deberá crear un fichero independiente y notificarlo a la AEPD.

  
El texto informativo debe contener los principios fundamentales que recoge la LOPD para estos casos:La identidad y dirección del responsable del tratamiento.La existencia de un tratamiento de datos de carácter personal, la finalidad del mismo y los destinatarios, si los hubiere, de la información.El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. 

Ejemplos de textos informativos para obtener el consentimiento de la grabación:
 Cuando es por motivos de calidad y para ofrecer un mejor servicio en la comunicación (no existe cesión de datos ni se plantean cuestiones que puedan tener consecuencias para el interesado):
«De acuerdo con la Ley Orgánica de Protección de Datos, le informamos que esta conversación puede ser grabada por motivos de calidad para poder atender mejor sus necesidades, pudiendo ejercer sus derechos de acceso, rectificación, cancelación y oposición ante ……………… en ……………….»
 Para asegurar al interesado que no existe una cesión de datos y que no se plantean cuestiones que puedan ocasionarles consecuencias:
«De acuerdo con la Ley Orgánica de Protección de Datos, le informamos que esta conversación puede ser grabada formando parte de un tratamiento de datos personales por motivos de calidad para poder atender mejor sus necesidades, no cediéndose a ninguna otra organización distinta del responsable del tratamiento que es ………………… Se le informa que tiene la facultad de no responder a las preguntas planteadas en todo momento, sin que ello tenga consecuencia alguna para el tratamiento. De la misma manera, podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición dirigiéndose a …………………»
 Si se preven cesiones de datos a otros destinatarios o se plantean cuestiones que puedan tener consecuencias para el interesado, deberá especificarse claramente en la locución y obtener el consentimiento explícito e inequívoco del interlocutor, para ello deberá añadirse un texto como:
«¿Está de acuerdo en que se grabe esta conversación en los términos que le hemos expuesto?»  DEBE RESPONDER SÍ.


NOTA: El texto debe personalizarse con los fines reales del tratamiento y los otros preceptos de la LOPD que se han comentado anteriormente. 

 
28824-05-201713-02-2017¿Qué hacer ante una suplantación de identidad?
288 – 24/05/2017 – SOPORTE / INFORMACIÓN / DATOS PERSONALES
La suplantación de identidad está a la orden del día y la propia Oficina de Seguridad del Internauta lo ha sufrido
El boletín de seguridad del Instituto Nacional de Ciberseguridad ha publicado una nota de prensa referente a los ataques de seguridad que se realizan en las redes sociales, con ejemplos y enlaces que tratan este tema.
https://www.incibe.es/sala-prensa/notas-prensa/hacer-suplantacion-identidad

Título publicado por:
Instituto Nacional de Ciberseguridad de España S.A. 03/02/2017
SEGURIDAD EN INTERNET
29923-05-201706-03-2017¿Cómo usar contraseñas fuertes y protegerlas?
299 – 23/05/2017 – SOPORTE / INFORMACIÓN / SEGURIDAD EN INTERNET
Seguridad en tus contraseñas
La AEPD ha publicado en su blog un artículo dedicado a la seguridad de las contraseñas con una guía de 18 fichas que explica de manera muy sencilla la importancia de proteger adecuadamente los dispositivos que guardan o acceden a información personal y otras recomendaciones muy útiles para salvaguardar los datos de dispositivos móviles mediante copias de seguridad.

Vale la pena revisar detenidamente estas fichas para hacernos una idea de lo vulnerables que somos y como podemos actuar para protegernos de accesos indebidos. También recomendamos su difusión para promover la cultura de privacidad en todos los tratamientos de datos por internet, ya sea en el ámbito personal como profesional.


Podeis encontrar la información original publicada por AEPD en:
 Seguridad en tus contraseñas, artículo publicado por AEPD – Blog – 21/02/1017Guía Privacidad y seguridad en internet (18 fichas de información esencial para el uso seguro y responsable de Internet)Guía Privacidad y seguridad en internet (pdf) (versión de la guía en PDF)Vídeos tutoriales para configurar tu privacidad (videotutoriales para configurar opciones de privacidad de navegadores, redes sociales y sistemas operativos móviles más comunes)
Otras guías destacadas de la AEPD publicadas en su canal de documentación:Listado de documentación destacada de la AEPD
30123-05-201710-03-2017Proyecto Test de privacidad
301 – 23/05/2017 – SOPORTE / INFORMACIÓN / SEGURIDAD EN INTERNET
TestdePrivacidad.org 
Según muestran en la página web de la Asociación de Usuarios de Internet (AUI), TestdePrivacidad.org  es una iniciativa de para difundir, informar y sensibilizar sobre la importancia de la privacidad en el entorno digital y dar a conocer iniciativas que permitan una mejor gestión de la privacidad de los usuarios de nuevas tecnologías.
 
El objetivo de esta iniciativa es aportar a los ciudadanos información, conocimiento, consejos y herramientas para que puedan encontrar respuesta a cuestiones básicas que afectan a sus datos personales en los entornos digitales.


La web está diseñada como preguntas a les que se responde y complementa con consejos, informaciones de interés y acciones que puede llevar a cabo para mejorar la privacidad. Las preguntas son:
 ¿Por qué es importante tu privacidad?¿Qué es la dirección IP?¿Qué son las cookies?¿Qué es la huella digital?¿Quién recoge datos tuyos cuando visitas otras webs?¿Cuánto valen tus datos personales?¿Como obtener beneficio de tus datos personales?¿Cómo mejorar tu privacidad?¿Quien protege mi derecho a la privacidad?
La Agencia Española de Protección de Datos también ha publicado diferentes materiales que tratan de concienciar a los usuarios sobre la importancia de proteger su privacidad en los entornos digitales, por ejemplo la Guía de privacidad y seguridad en internet, los vídeos tutoriales que enseñan a gestionar quién puede ver los datos que publicamos en las redes sociales, las guías para niños, padres y profesores, etc.

Acceso al contenido original publicado por AEPD – blog el 10/03/2017
 ¿Por qué es importante tu privacidad?Inscripción gratuita a la Jornada sobre privacidad y ciudadanía digital (16 de marzo de 2017)Guía de privacidad y seguridad en internetQuién puede ver los datos que publicamosGuías para niños, padres y profesores (tudecideseninternet.es)
 
29723-05-201701-03-2017¿Se pueden publicar las fotos de Facebook?
297 – 23/05/2017 – SOPORTE / INFORMACIÓN / SEGURIDAD EN INTERNET
El Tribunal Supremo exige el consentimiento expreso del interesado para publicar fotografías de su cuenta de Facebook
La Sala Primera condena a un periódico a indemnizar a una persona con 15.000 euros por publicar una fotografía suya extraída de Facebook.

He aquí algunos de los textos más relevantes de la sentencia:

Que en la cuenta abierta en una red social en Internet, el titular del perfil haya “subido” una fotografía suya que sea accesible al público en general, no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular, porque tal actuación no puede considerarse una consecuencia natural del carácter accesible de los datos e imágenes en un perfil público de una red social en Internet. La finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de la cuenta en un medio de comunicación”.

el consentimiento del titular de la imagen para que el público en general, o un determinado número de personas, pueda ver su fotografía en un blog o en una cuenta abierta en la web de una red social no conlleva la autorización para hacer uso de esa fotografía y publicarla o divulgarla de una forma distinta, pues no constituye el «consentimiento expreso» que prevé el art. 2.2 de la Ley Orgánica 1/1982 (de protección de derecho al honor y la propia imagen) como excluyente de la ilicitud de la captación, reproducción o publicación de la imagen de una persona. Aunque este precepto legal, en la interpretación dada por la jurisprudencia, no requiere que sea un consentimiento formal (por ejemplo, dado por escrito), sí exige que se trate de un consentimiento inequívoco, como el que se deduce de actos o conductas de inequívoca significación, no ambiguas ni dudosas”.

Tener una cuenta o perfil en una red social en Internet, en la que cualquier persona puede acceder a la fotografía del titular de esa cuenta, supone que el acceso a esa fotografía por parte de terceros es lícito, pues está autorizada por el titular de la imagen. Supone incluso que el titular de la cuenta no puede formular reclamación contra la empresa que presta los servicios de la plataforma electrónica donde opera la red social porque un tercero haya accedido a esa fotografía cuyo acceso, valga la redundancia, era público. Pero no supone que quede excluida del ámbito protegido por el derecho a la propia imagen la facultad de impedir la publicación de su imagen por parte de terceros, que siguen necesitando del consentimiento expreso del titular para poder publicar su imagen”.


Publicado por: C.G.P.J. – Notícias Judiciales, el 20 de febrero de 2017
Acceso a la noticiahttp://www.poderjudicial.es/cgpj/es/Poder-Judicial/Noticias-Judiciales
15824-05-201730-10-2015Guardar datos de nivel alto en servidores de Internet
158 – 24/05/2017 – SOPORTE / INFORMACIÓN / SEGURIDAD EN INTERNET
¿Se pueden guardar datos de nivel alto en los servidores de Internet?
Cuando un Responsable del tratamiento decide usar servidores de internet para almacenar datos personales de nivel alto, requiere firmar un contrato de servicios con el Encargado del tratamiento, o sea la empresa que nos suministra el servicio, y en este contrato se debe reflejar que las medidas de seguridad que debe tener implantadas el proveedor de servicios serán las adecuadas para garantizar la protección de nivel de seguridad alto, tal como especifica la normativa LOPD.

La mayoría de proveedores de internet, solo garantizan la protección de un nivel de seguridad medio, por lo que el Responsable del tratamiento que trata datos de nivel alto no debería usar estos servicios, ya que lo prohíbe explícitamente la ley.

Lo más corriente, al enviar el contrato de servicios al proveedor de Internet, es que nos digan que no pueden firmar el contrato porqué ellos ya tienen uno de plantilla para todos los servicios que ofrecen y que no pueden tener uno para cada cliente. No pasaría nada si en este contrato pusiera el nivel de protección, cosa que no ocurre en la mayoría de los casos.

Visto esto, debemos asegurarnos del nivel de seguridad que garantiza el proveedor, no de palabra, si no que debemos solicitar y conservar un documento probatorio que lo declare, debidamente firmado por el Encargado del tratamiento, o sea el proveedor.

Son datos de nivel alto los relativos al origen étnico o racial; opiniones políticas, religión o creencias filosóficas; orientación sexual o identidad de género; afiliación y actividades sindicales; genética o biométrica; salud; vida sexual; sanciones administrativas, sentencias, delitos o sospechas de delito; condenas penales o medidas de seguridad afines.

 
INTERNACIONAL
26921-06-201724-10-2016Alternativas a MailChimp y AWeber (Privacy Shield)
269 – 21/06/2017 – SOPORTE / INFORMACIÓN / INTERNACIONAL
Debido al acuerdo Privacy Shield, de aplicación desde el 01/08/2016, las empresas americanas adheridas a Safe Harbor deberán hacerlo a Privacy Shield para poder seguir ofreciendo sus servicios de internet legalizando el tratamiento de datos de las empresas europeas. O sea, que el tratamiento de datos personales que se efectúe con empresas de EEUU o que, aunque no sean americanas, guarden datos en EEUU, que no estén adheridas a Privacy Shield, será considerado ilegal.

Por este motivo hemos procedido a buscar los proveedores de servicios en la nube tipo “mailing” más comunes donde la mayoría de empresas europeas contratan servicios de envio masivo de correos electrónicos para comunicarse con sus clientes o contactos comerciales.

La selección de los proveedores se ha realizado mediante búsquedas con Google y Bing, buscando información en el web oficial del producto “mailing” y analizando el contenido de cada política de privacidad o términos de uso del servicio.
 En la tabla siguiente se detalla:
 App: el nombre del producto.País empresa: el país de la empresa que lo comercializa o, si es distinto, el país cuya legislación afecta a la empresa y a la cual se debe para cualquier litigio con sus clientes.URL App: enlace a la web oficial del producto.URL Legal: enlace a la política de privacidad.Fecha Legal: fecha publicada de la política de privacidad o de la certificación de privacidad.Validez: fecha de vencimiento de la certificación de privacidad.Dispute Resolution: dirección para la resolución de litigios internacional.Garantía: referencia a la legislación o acuerdo internacional que garantiza la protección de datos.UE: legislación europea conforme la Directiva 95/46/CE o países con decisión de adecuación tomada por la Comisión de la UE.LOPD: legislación española conforme la Directiva 95/46/CE.PShield: empresa adherida al acuerdo Privacy Shield entre UE y EEUU. (marco vigente).SHarbor: empresa adherida al acuerdo Safe Hardbor (invalidado por la UE desde 06/10/2015).CBPR: empresa adherida al marco de privacidad APEC CROSS-BORDER PRIVACY RULES SYSTEM (no validado por la UE). Este listado está actualizado a 24/10/2016. A día de hoy ya hay 572 adhesiones a Privacy Shield pero se puede consultar la lista actualizada en la página: https://www.privacyshield.gov/listAppPaís empresaURL  AppURL  LegalFecha LegalValidezDispute ResolutionGarantíaAcumba MailESPAÑAacumbamail.comprivacy-policy—LOPDGet AppESPAÑAgetapp.comterms_of_use—LOPDGet ResponsePOLONIA getresponse.comprivacidad21/1215-Tribunales Barcelona (ES)LOPDIninboxPAÍSES BAJOSininbox.comprivacy12/05/12-Tribunales Groningen (NL)UEMail IfyESPAÑAes.mailify.comprivacidad10/06/14-Trib. Comercio Cataluña (ES)LOPDMail Jet FRANCIAes.mailjet.comprivacy-policy15/10/16-Tribunales París (FR)UEMail RelayESPAÑAmailrelay.com/espolitica-de-privacidad–Tribunales Madrid (ES)LOPDMDirectorESPAÑAmdirector.comterminos-y-condiciones–Tribunales Madrid (ES)LOPDNewsletter 2GoALEMANIAnewsletter2go.esproteccion-datos01/04/15-Tribunales Berlín (DE)UETeenvio ESPAÑAteenvio.com/espolitica-de-privacidadARBITECLOPDSend in BlueFRANCIAes.sendinblue.comtermsofuse–Trib. Comercio París (FR)UESimplyCastCANADÁsimplycast.comprivacy-policy24/07/14-Nueva Escocia (CA)UE

 Active CampaignEEUUactivecampaign.comtos19/09/1619/08/17JAMS Privacy ShieldPShieldAWeber EEUUaweber.comAWeber Privacy Policy04/10/1604/10/17TRUSTePShieldAWS Amazon SESEEUUaws.amazon.com/es/sesAmazon Privacy Notice21/10/1621/1017TRUSTePShieldKickboxEEUUkickbox.ioKickbox Privacy Policy12/08/1612/08/17BBB EU Privacy ShieldPShieldMarketoEEUUmarketo.comPrivacy Policy27/09/1627/09/17ICDR/AAA Privacy ShieldPShieldSalesforceEEUUsalesforce.comfull_privacy12/08/1612/08/17TRUSTePShieldWooboxEEUUwoobox.comWoobox Privacy Policy10/12/1610/12/17EU Data Protection AuthoritiesPShield

 BenchmarkEEUUgo.benchmarkemail.comprivacy-policy26/07/1326/07/16TRUSTeSHarborCampaigns (Zoho)EEUUzoho.com/campaignsprivacy03/01/1103/01/17TRUSTeSHarborConstant ContactEEUUconstantcontact.comprivacy-statement20/10/1020/10/16TRUSTeSHarborEmmaEEUUmyemma.compermission-and-privacy-policy17/05/0517/05/17-SHarborIContactEEUUicontact.comprivacy21/10/1121/10/16TRUSTeSHarborInfusion SoftEEUUinfusionsoft.comprivacy-policy11/03/1511/03/17VeraSafeSHarborJango MailEEUUjangomail.comprivacy-policy06/04/1006/04/17TRUSTeSHarborPardotEEUUpardot.comprivacy-policy18/10/1118/10/17TRUSTeSHarborVertical ResponseEEUUverticalresponse.comprivacy_tos27/06/0627/06/17TRUSTeSHarbor

 Campaign MonitorAUSTRALIAcampaignmonitor.compolicies—-CampaignerCANADÁcampaigner.comlegal/privacy-…Direct IQEEUUdirectiq.comprivacy-policy—-Fresh MailREINO UNIDOfreshmail.comprivacy-policy-2—-Mad MimiEEUUmadmimi.comPrivacy07/01/16—Mail ChimpEEUUmailchimp.comprivacy29/09/16-TRUSTeMaileeBRASILmailee.meprivacy-policy—-Mailer LiteLITUANIAmailerlite.com/espolitica-de-privacidad—-PinpointeEEUUpinpointe.comterms-of-service—-Send LoopTURQUÍAsendloop.comprivacy-policy—-
26821-06-201723-10-2016Alternativas a DropBox y Google Drive (Privacy Shield)
268 – 21/06/2017 – SOPORTE / INFORMACIÓN / INTERNACIONAL
Debido al acuerdo Privacy Shield, de aplicación desde el 01/08/2016, las empresas americanas adheridas a Safe Harbor deberán hacerlo a Privacy Shield para poder seguir ofreciendo sus servicios de internet legalizando el tratamiento de datos de las empresas europeas. O sea, que el tratamiento de datos personales que se efectúe con empresas de EEUU o que, aunque no sean americanas, guarden datos en EEUU, que no estén adheridas a Privacy Shield, será considerado ilegal.

Por este motivo hemos procedido a buscar los proveedores de servicios en la nube tipo “cloud” más comunes donde la mayoría de empresas europeas albergan datos personales para realizar copias de seguridad o tratamiento compartido de datos.

La selección de los proveedores se ha realizado mediante búsquedas con Google y Bing, buscando información en el web oficial del producto “cloud” y analizando el contenido de cada política de privacidad o términos de uso del servicio.

En la tabla siguiente se detalla:App: el nombre del producto.País empresa: el país de la empresa que lo comercializa o, si es distinto, el país cuya legislación afecta a la empresa y a la cual se debe para cualquier litigio con sus clientes.URL App: enlace a la web oficial del producto.URL Legal: enlace a la política de privacidad.Fecha Legal: fecha publicada de la política de privacidad o de la certificación de privacidad.Validez: fecha de vencimiento de la certificación de privacidad.Dispute Resolution: dirección para la resolución de litigios internacional.Garantía: referencia a la legislación o acuerdo internacional que garantiza la protección de datos.UE: legislación europea conforme la Directiva 95/46/CE o países con decisión de adecuación tomada por la Comisión de la UE.LOPD: legislación española conforme la Directiva 95/46/CE.PShield: empresa adherida al acuerdo Privacy Shield entre UE y EEUU. (marco vigente).SHarbor: empresa adherida al acuerdo Safe Hardbor (invalidado por la UE desde 06/10/2015).CBPR: empresa adherida al marco de privacidad APEC CROSS-BORDER PRIVACY RULES SYSTEM (no validado por la UE).Este listado está actualizado a 24/10/2016. En esta fecha ya hay 572 adhesiones a Privacy Shield pero se puede consultar la lista actualizada en la página: https://www.privacyshield.gov/list AppPaís empresaURL  AppURL  LegalFecha LegalValidezDispute ResolutionGarantíaCloudMeSUECIAcloudme.comlegal/patriotact31/01/14-Tribunales Linköping (SE)UEDatapriusESPAÑAdataprius.comaviso-legal05/05/15-Tribunales Málaga (ES)LOPDFabaSoftAUSTRIAfabasoft.comdata-protection—UEFiabeeESPAÑAfiabee.comlegal-info–Tribunales Barcelona (ES)LOPDHubiCFRANCIAhubic.com/esContrat07/02/14-Tribunales Lille (FR)UEMegaNUEVA ZELANDAmega.nzprivacy20/01/16Tribunales Auckland, (NZ)UEMegaShopESPAÑAmegashop.esprivacidad—LOPDOneDrive (Microsoft)IRLANDA/EEUUonedrive.live.comMicrosoft Privacy Statement12/08/1612/08/17EU Data Protection AuthoritiesUE/PShieldTresoritSUIZAtresorit.comprivacy-policy03/07/15–UE

 Amazon CloudLUXEMBURGO/EEUUamazon.es/clouddriveAmazon Privacy Notice21/10/1621/10/17TRUSTePShieldBoxREINO UNIDO/EEUUbox.comBox Privacy Notice05/10/1605/10/17TRUSTePShieldDropbox EEUUdropbox.comDropbox Privacy Policy23/09/1623/09/17JAMS Privacy Shield ProgramPShieldGoogle DriveEEUUgoogle.es/intl/es/driveGoogle Privacy Policy22/09/1622/09/17EU Data Protection AuthoritiesPShieldSyncplicityEEUUsyncplicity.comPrivacy Statement04/10/1604/10/17TRUSTePShield

 Cubby (LogMeIn)EEUUcubby.comprivacy-policy14/09/0914/09/16ICDR/AAASHarborEgnyteEEUUegnyte.comterms_of_service01/09/0901/09/16TRUSTeSHarborFlickr (Yahoo)EEUUflickr.comterms22/11/0622/11/16JAMS Safe Harbor ProgramSHarborHuddleEEUUhuddle.comterms-of-use09/04/1404/09/16ICDR/AAASHarboriCloud (Apple)IRLANDAapple.com/es/icloudprivacy-policy12/09/16–CBPRShareFileEEUUsharefile.comprivacy19/02/0719/02/17TRUSTeSHarborSugarSyncEEUUsugarsync.comprivacy15/02/1215/02/17TRUSTeSHarbor

 BitTorrent SyncEEUUbittorrent.comlegal/privacy23/06/16-Tribunales California (EEUU)-IDriveSyncEEUUidrivesync.comlegal/privacy01/09/12—JottaCloudNORUEGAjottacloud.comPrivacy16/05/14—MediaFireEEUUmediafire.comterms_of_service30/10/15-Tribunales Harris, Texas (EEUU)-OpenKMESPAÑAopenkm.cominformation—-OwnCloudALEMANIAowncloud.comprivacy-statement—-PydioFRANCIApydio.comterms-use–Tribunales París (FR)-SpiderOakEEUUspideroak.comprivacy-policy04/06/16—
22023-05-201721-03-2016Transferencias internacionales por interés del interesado
220 – 23/05/2017 – SOPORTE / INFORMACIÓN / INTERNACIONAL
¿Se pueden transferir datos personales a paises no seguros con la autorización del interesado?
El Responsable del tratamiento podrá realizar transferencias de datos personales a terceros paises u organizaciones internacionales que no posean una decisión de suficiencia de la UE, cuando el tratamiento sea por interés del interesado y éste haya dado explícitamente su consentimiento para una finalidad específica y se le informe adecuadamente de los posibles riesgos debidos a la ausencia de una decisión de suficiencia o de garantías apropiadas.

El interés del interesado para realizar dichas transferencias solo será lícito si el tratamiento se realiza para:La ejecución de un contrato o precontrato entre el interesado y el Responsable del tratamiento.La ejecución de un contrato por interés del interesado, entre el Responsable del tratamiento y otra persona física o jurídica.Proteger los intereses vitales del interesado u otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
¿Se debe especificar la transferencia internacional en la estructura del fichero?
Cuando una transferencia se realiza  exculsivamente por interés del interesado y contempla los supuestos lícitos antes citados, no se debe comunicar en la notificación del fichero a la AEPD. El sistema NOTA solo permite registrar las transferencias a terceros paises diferenciando si tienen un nivel adecuado de protección según decisión de la UE o con autorización de la AEPD.

Si la transferencia se considera una comunicación de datos a un DESTINATARIO, se debería anotar en el apartado de cesiones de datos como otras cesiones.

Si la transferencia se considera un tratamiento por cuenta del Responsable, no se detallará en la estructura del fichero porque se trata de una prestación de servicios. Deberá añadirse al registro de Encargados de tratamiento y suscribir el correspondiente contrato de protección de datos.
LSSICE (INTERNET)
94124-09-201924-09-2019Información sobre cookies
941 – 24/09/2019 – SOPORTE / INFORMACIÓN / LSSICE (INTERNET)

INFORMACIÓN SOBRE COOKIES
Debido a la modificación de la “Ley de Servicios de la Sociedad de la Información” (LSSICE) establecida por el Real Decreto 13/2012, de 30 de marzo, es de obligación obtener el consentimiento expreso del usuario de todas las páginas web que usan cookies prescindibles, antes de que éste navegue por ellas.
 1. ¿QUÉ SON LAS COOKIES?
Según el art. 22.2 de la LSSI, las cookies y otras tecnologías similares tales como local shared objectsflash cookies, son herramientas empleadas por los servidores Web (emisor) para almacenar y recuperar información de un equipo terminal receptor (persona física o jurídica), así como para ofrecer un correcto funcionamiento del sitio.

Mediante el uso de estos dispositivos se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc.

 2. COOKIES QUE PRECISAN CONSENTIMIENTO Y COOKIES EXCEPTUADAS
Quedan exceptuadas de obtener el consentimiento informado, según el art. 22.2 de la LSSI, las cookies de carácter técnico y las necesarias para el funcionamiento del sitio web y las de prestación de servicios expresamente solicitados por el usuario con lo cual no sería necesario obtener el consentimiento sobre su uso.

 
Según el GT29 en su dictamen 4/2012* se interpretan cookies exceptuadas de consentimiento informado las:Cookies de «entrada del usuario»Las cookies de sesión y de entrada de usuario se suelen utilizar para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón. Cookies de autenticación o identificación de usuario (únicamente de sesión)Cookies de seguridad del usuario
P. ej. Las cookies utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web.Cookies de sesión de reproductor multimediaCookies de sesión para equilibrar la cargaCookies de personalización de la interfaz de usuarioCookies de complemento (plug-in) para intercambiar contenidos sociales 
*En el citado dictamen se observa que para que una cookie pueda estar exenta del consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes, pero se deberán analizar.
Comentar a este respecto que una misma cookie puede tener más de una finalidad por lo que existe la posibilidad de que para una finalidad quede exceptuada y para otra necesite el consentimiento informado.
 
3. ¿QUÉ TIPOS DE COOKIES EXISTEN 
1. Según sea la entidad que gestione el equipo o dominio desde donde se envíen podemos distinguir:
 Cookies PROPIAS: son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.Cookies de TERCEROS: son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor, pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias. 

2. Según el plazo de tiempo que permanecen activadas en el equipo terminal podemos distinguir:
 Cookies de SESIÓN: son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.Con o sin consentimiento, en función de su caducidad o finalidad.
 Cookies PERSISTENTES: son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.Con consentimiento e información.


3. Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:
 Cookies TÉCNICAS y FUNCIONALES: son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, p. ej., controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos de un pedido, realizar el proceso de compra de un pedido, realizar la inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.Sin consentimiento, pero con información.
 Cookies de PERSONALIZACIÓN: son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como, p. ej., el idioma, el tipo de navegador, la configuración regional desde donde accede al servicio, etc.Sin consentimiento, pero con información.
 Cookies ANALÍTICAS: son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.Con consentimiento e información.

*El GT29 manifiesta que, pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

Más información sobre cookies analíticas y para deshabilitarlas:
Política de privacidad de Google  y Exclusión de Google Analytics
 Cookies PUBLICITARIAS: son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.Sin consentimiento, pero con información.
 Cookies de PUBLICIDAD COMPORTAMENTAL: recogen información sobre las preferencias y elecciones personales del usuario (retargeting).Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Con consentimiento e información.

Más información sobre cookies de publicidad:
http://www.lssi.gob.es/Paginas/politica-cookies.aspx
Guía sobre el uso de las cookies de la AEPD

Más información para deshabilitar cookies de publicidad:
Alianza Europea de Publicidad Digital Interactiva
http://www.youronlinechoices.com/es/preferencias/

La European Interactive Digital Advertising Alliance (Alianza Europea de Publicidad Interactiva), es una asociación sin ánimo de lucro (AiSBL) con sede en Bruselas, inscrita en el Registro de Moniteur Belge con el número BE 0846.790.105. El domicilio social se encuentra en Rue des Deux Eglises 26 | B-1000 Bruselas (Bélgica). Para más información, o si tiene cualquier pregunta acerca de los presentes términos y condiciones, le rogamos que se ponga en contacto con la EDAA por correo electrónico: privacy@edaa.eu

También podrá controlar los anuncios y seguimientos de los mismos en Ghostery:
http://www.ghostery.com/
 Cookies SOCIALES: son establecidas por las plataformas de redes sociales en los servicios para permitirle compartir contenido con sus amigos y redes. Las plataformas de medios sociales tienen la capacidad de rastrear su actividad en línea fuera de los Servicios. Esto puede afectar el contenido y los mensajes que ve en otros servicios que visita.Con o sin consentimiento, en función de su caducidad o finalidad.

Más información sobre cookies de sociales:
Facebook: https://www.facebook.com/policies/cookies/
Google: http://www.google.es/intl/es/policies/privacy/
  Cookies de AFILIADOS: permiten hacer un seguimiento de las visitas procedentes de otras webs, con las que el sitio web establece un contrato de afiliación (empresas de afiliación).Con consentimiento e información.
 Cookies de SEGURIDAD: almacenan información cifrada para evitar que los datos guardados en ellas sean vulnerables a ataques maliciosos de terceros. Se usan sólo en conexiones HTTPS.Con o sin consentimiento, en función de su caducidad o finalidad.

Más información sobre cookies de seguridad:
https://blogthinkbig.com/que-son-las-cookies

 Cookies ZOMBIE: son las que se recrean a sí mismas después de ser borradas. Las cookies zombis se guardan en el dispositivo y no en el navegador, usualmente con la finalidad de que se pueda acceder a ellas sin importar qué navegador se esté usando y amenazando la privacidad y seguridad del usuario. 
 4. INFORMACIÓN DEL TRATAMIENTO
Las cookies almacenan datos personales, por lo que es obligatorio informar del tratamiento y en algunos casos, solicitar el consentimiento para instalarlas.

Para informar del tratamiento se dispondrá de un enlace a la Política de cookies, donde se informará del tratamiento tal como se establece en el art. 13 GDPR.

Cuando la base legítima se base en el consentimiento del interesado, se dispondrá de un banner que se mostrará al acceder a la página web con la información básica del tratamiento (1ª capa basada en el art. 11 LOPDGDD), que debe contener, como mínimo, la identidad del responsable, la finalidad del tratamiento, la posibilidad de ejercer los derechos del interesado, un enlace con acceso a la restante información (Política de cookies), y un ACEPTO (la instalación de cookies).

En el caso de querer instalar varias cookies que precisen de consentimiento, el banner deberá disponer de un check box para cada una de las finalidades.

IMPORTANTE: para legitimar un tratamiento basado en el consentimiento, NO SE DEBEN INSTALAR LAS COOKIES ANTES QUE EL USUARIO LO ACEPTE. No vale el enunciado “Si continúa navegando consideramos que está de acuerdo con su uso”. De la misma forma, debe ser tan fácil retirar el consentimiento como haberlo dado (art.7 GDPR).


Ejemplos prácticos de BANNER:
 Mensaje informativo de cookies ANALÍTICAS (BANNER)Esta web solo instalará cookies analíticas si usted lo acepta expresamente.
Las cookies _ga/_utm son propiedad de Google Analytics y sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación.
Podrá revocar este consentimiento, obtener más información e informarse de sus derechos en la Política de cookies
Acepto
 Mensaje informativo de cookies  ANALÍTICAS y PUBLICITARIAS (BANNER)Esta web solo instalará cookies analíticas y publicitarias si usted lo acepta expresamente.
O  Las cookies _ga/_utm son propiedad de Google Analytics y sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación.
O  Las cookies Doubleclick son propiedad de Google Inc. y sirven para mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación.
Podrá revocar este consentimiento, obtener más información e informarse de sus derechos en la Política de cookies
Acepto las cookies seleccionadas

El banner podrá permanecer visible hasta que el usuario no acepte la instalación de las cookies.

 
93924-09-201924-09-2019Avisos legales en la página web
939 – 24/09/2019 – SOPORTE / INFORMACIÓN / LSSICE (INTERNET)
¿Qué avisos legales deben ponerse en una página web?Cualquier página web que contemple servicios relacionados con una actividad económica deberá publicar una serie de avisos legales para cumplir con las normativas que le sean de aplicación. Para ello, deberemos revisar la estructura de la web y determinar las que puedan afectarla:

· Aviso legal: obligatorio para todas las webs que contemplen servicios relacionados con una actividad económica. Se aplica la normativa LSSI.

· Política de privacidad: obligatoria para todas las webs que realizan algún tratamiento de datos personales, esto es, si obtienen datos mediante un formulario (formulario de contacto, boletines de noticias, alta de usuario, etc.), o se muestran datos personales en la web (nombres, teléfonos, correos, imágenes, etc. de personas físicas). Se aplican las normativas GDPR y LOPDGDD.En caso de formularios para obtener datos personales, se deberá valorar la necesidad de obtener el consentimiento del usuario aplicando un sistema de doble capa en que se ofrezca una información básica en primer plano y otra de completa mediante un enlace que acceda a la política de privacidad.
· Política de cookies: obligatoria para todas las webs que instalan cookies, ya sean cookies imprescindibles (técnicas, funcionales, etc.) o no (analíticas, publicitarias, comportamentales, etc.). Se aplican las normativas LSSI, GDPR y LOPDGDD.En el caso de querer instalar cookies prescindibles -que no sean de carácter técnico o funcional-, se deberá valorar la necesidad de obtener el consentimiento del usuario aplicando un sistema de doble capa en que se ofrezca una información básica en primer plano (banner) y otra de completa mediante un enlace que acceda a la política de cookies.Para legitimar la instalación de cookies que no precisen consentimiento, se deberá valorar si se encuentran en el ámbito de aplicación del interés legítimo basado en el artículo 22.2 LSSI.

· Condiciones de contratación: obligatoria para todas las webs que pretendan realizar transacciones comerciales mediante una pasarela de pago o TPV virtual (Redsys, CECA, PayPal, Stripe, etc.). Se aplican las normativas LSSI y LOCM.

 ¿Dónde colocar los avisos legales?Una vez establecidos los avisos legales a implementar en la web, se deben colocar de forma que sean accesibles desde cualquier lugar del sitio web, por ello es recomendable fijar unos accesos directos en el pie de página, donde se suele mostrar la información corporativa y los datos de contacto, por ejemplo:
 ©MARCA COMERCIAL
+34 999 999 999
info@marca.comAviso legal
Política de privacidad
Política de cookiesTérminos y condiciones
 de contratación 

Los avisos legales específicos para obtener el consentimiento del usuario se colocarán de manera que se informe previamente al tratamiento de los datos, o sea, en el caso de formularios antes de ser enviados y en el caso de las cookies antes de ser instaladas.
 Avisos legales específicos para obtener el consentimiento del usuarioCuando se requiera rellenar un formulario con datos personales o instalar cookies, se deberá informar al usuario del tratamiento que se va a realizar, basándonos en alguna de las legitimaciones previstas en el art. 6 GDPR.

Cuando la legitimación se base en el consentimiento del interesado (manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen), se pueden utilizar dos métodos:Informar en una única capa: mediante una casilla de confirmación que el sistema obligue al usuario a seleccionar (acción proactiva) para proceder al envío de los datos, facilitando toda la información del tratamiento.Esta casilla o botón de confirmación debe ir acompañado de un texto con toda la información del tratamiento, ya sea a continuación o mediante una ventana desplegable o emergente, siempre que se muestre toda la información al usuario.No sirve un enlace a otra página. Para obtener el consentimiento se debe acceder a toda la información del tratamiento en el momento de aceptarlo.Esta opción se utiliza generalmente para fines de difusión de noticias, donde la información del tratamiento es muy simple, por ejemplo: 
Acepto el tratamiento de mis datos personales bajo los siguientes términos:

EMPRESA SL es el responsable del tratamiento de los datos personales y le informa que serán tratados de conformidad con lo dispuesto en las normativas vigentes en protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (GDPR) y la Ley Orgánica (ES) 15/1999 de 13 de diciembre (LOPD), con la finalidad de enviarle nuestro boletín de noticias, bajo la legitimación del art. 6.1.a GDPR tras haber obtenido su consentimiento explícito.

Sus datos no se comunicarán a terceros, salvo por obligación legal y se conservarán durante no más tiempo del necesario para mantener el fin del tratamiento.

Le informamos que le asisten el derecho a retirar el consentimiento en cualquier momento, el derecho de acceso, rectificación y supresión de sus datos y a la limitación u oposición del tratamiento, y el derecho a presentar una reclamación ante la autoridad de control (www.agpd.es) si considera que el tratamiento no se ajusta a la normativa vigente.

Los datos de contacto para ejercer sus derechos son: ………….
  Informar en dos capas: mediante una casilla de confirmación que el sistema obligue al usuario a seleccionar (acción proactiva) para proceder al envío de los datos, facilitando la información básica que exige el art. 11 LOPDGDD y un enlace a la restante información que puede ser la política de privacidad, la política de cookies u otra página exclusiva para esta finalidad. Esta casilla o botón de confirmación debe ir acompañado de un texto con la identidad del responsable, la finalidad del tratamiento, la posibilidad de ejercer los derechos del interesado y un enlace a la restante información del tratamiento.Si se prevén varias finalidades que precisen el consentimiento, se deberá poner una casilla de confirmación para cada finalidad, pudiendo el usuario escoger libremente las que más le convengan.Esta opción es la más generalizada y sirve para diversas finalidades (instalación de cookies, fines comerciales, contratación, alta de usuarios, envío de demos, etc.).Ejemplo para obtener el consentimiento mediante un formulario de contacto:  
Información de protección de datos

Responsable del tratamiento: EMPRESA SL

Fines del tratamiento: mantener una relación comercial y el envío de comunicaciones de productos o servicios.

Podrá obtener más información, informarse de sus derechos y revocar este consentimiento en la Política de privacidad.

 Consiento el tratamiento de mis datos en los términos expuestos.
  Ejemplo para obtener el consentimiento para la instalación de cookies analíticas y publicitarias: 
Información de protección de datos

Responsable del tratamiento: EMPRESA SL

Fines del tratamiento: las cookies analíticas sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación y las cookies publicitarias sirven para medir el rendimiento de los anuncios y proporcionar recomendaciones relativas a productos basadas en datos estadísticos.

Podrá obtener más información, informarse de sus derechos y revocar este consentimiento en la Política de cookies.

Esta web solo instalará las siguientes cookies si usted lo acepta expresamente:

O  Cookies analíticas
O  Cookies publicitarias
  

 Resumen
Los avisos legales que deben incorporarse en una página web son los siguientes:

 DocumentoNormativaAplicaciónContenidoAviso legalLSSICualquier página webDatos identificativos del responsable de la web.Derechos de propiedad intelectual e industrial.Exención de responsabilidades: uso de cookies, política de enlaces, direcciones IP, etc.Ley aplicable y jurisdicción.Política de privacidadGDPR
LOPDGDDTratamiento de datos personalesNombre del responsable y DPO si existe.Legitimación del tratamiento.Fines del tratamiento.Criterios de conservación de los datos.Comunicación a terceros.Derechos que asisten al usuario.Datos de contacto para ejercer los derechos.Carácter obligatorio o facultativo de la información facilitada por el usuario.Medidas de seguridad implementadas para la protección de datos.FormularioGDPR
LOPDGDDConsentimiento para tratar datos 
     Sin capasInformación completa del tratamiento: responsable, legitimación, finalidad, criterios de conservación, destinatarios de los datos, derechos y datos de contacto.Consentimiento explícito confirmado: casilla, e-mail, etc.
     Con capas
         
       1ª capa:Información básica del tratamiento: responsable, finalidad y derechos.Enlace a la restante información del tratamiento (2ª capa).Consentimiento explícito confirmado: casilla, acepto, etc.
        2ª capa:Información completa del tratamiento: responsable, legitimación, finalidad, criterios de conservación, destinatarios de los datos, derechos y datos de contacto.Puede sustituirse por la Política de privacidad.Política de cookiesLSSI
GDPR
LOPDGDDInstalación de cualquier tipo de cookiesInformación sobre cookies: descripción, tipos de cookies, obtención del consentimiento, etc.Información específica del tratamiento: responsable, legitimación, finalidad, criterios de conservación, destinatarios de los datos, derechos y datos de contacto.Listado de cookies utilizadas en la web: nombre, tipo, propietario, finalidad y vencimiento.Información sobre como revocar el consentimiento.Información sobre como eliminar las cookies del navegador.Banner informativo de cookiesLSSI
GDPR
LOPDGDDConsentimiento para instalar cookies
      Con capasBanner informativo en segundo plano (1ª capa) que no desaparecerá hasta que lo acepte el usuario.Información básica del tratamiento: responsable, finalidad y derechos.Enlace a la política de cookies (2ª capa).Consentimiento explícito confirmado: casilla, acepto, etc.Condiciones de contrataciónLSSI
LOCMTienda virtual (e-commerce)Identidad de las partes contratantesObjeto del contratoEnvío de pedidosDerecho de desistimientoReclamacionesResolución de litigios en líneaFuerza mayorCompetenciaGeneralidades de la ofertaPrecio y plazo de validez de la ofertaGastos de transporteForma de pago, gastos y descuentosProceso de compraGarantías aplicablesGarantías y devolucionesLey aplicable y jurisdicción



 Normativas aplicables a las páginas webLSSILey 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
https://www.boe.es/eli/es/l/2002/07/11/34/conGDPRReglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
https://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04LOPDGDDLey Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
https://www.boe.es/eli/es/lo/2018/12/05/3/conLOCMLey 7/1996, de 15 de enero, de Ordenación del Comercio Minorista.
https://www.boe.es/buscar/act.php?id=BOE-A-1996-1072
 
 
16823-05-201703-11-2015Avisos legales de una tienda virtual
168 – 23/05/2017 – SOPORTE / INFORMACIÓN / LSSICE (INTERNET)
¿Qué avisos legales debe tener una tienda virtual?
Una tienda virtual o un comercio electrónico debe tener diferentes documentos legales visibles desde cualquier página del sitio web para poder informar en todo momento al usuario. Ya que debe cumplir con diferentes normativas, deberá poner a disposición del usuario todos los documentos por separado para su fácil localización:Aviso legal (LSSICE): Ya que estará ubicada en una página web.Política de Privacidad (LOPD): Ya que se obtienen y tratan datos personales.Consentimiento de tratamiento de datos en formularios (LOPD): En el momento de la obtención de los mismos.Política de Cookies (LSSICE): En el caso que se instalen cookies, ya sean cookies técnicas o de cualquier otro tipo.Consentimiento para instalar cookies analíticas (LOPD): Baner informativo en primer plano, en el caso que se instalen este tipo de cookies.Condiciones generales de contratación (LOCM): Información de todo el proceso de la tienda virtual.
Las condiciones generales de contratación deben especificar los siguientes apartados:Aceptación de los términos y condicionesIdentidad de las partes contratantesObjeto del contratoProcedimiento de contratación:Cláusulas generales de contratación.Envío de pedidos: Métodos, plazos de entrega, responsabilidad, etc.Derecho de desistimiento: Derecho y excepciones del mismo. Plazos según lo establecido en el artículo 44 de la Ley 47/2002.Reclamaciones.Fuerza mayor.Competencia.Generalidades de la oferta.Precio y plazo de validez de la oferta.Gastos de transporte: Se deben incluir todos los supuestos, puede ser un link a otra página web.Forma de pago, gastos y descuentos.Proceso de compra: Cesta, Presupuesto, Pedido, Venta, Entrega, RMA, etc.Garantías aplicables: conforme a los criterios del Real Decreto Legislativo 1/2007 de Defensa de los consumidores y usuarios.Garantías y devoluciones: basadas en la Ley 23/2003 de Garantías de venta de bienes de consumo.Ley aplicable y jurisdicción.
12924-05-201701-09-2015Comunicación comercial según LSSI
129 – 24/05/2017 – SOPORTE / INFORMACIÓN / LSSICE (INTERNET)
¿Cuando no se considera una comunicación comercial según LSSI?
No tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

Ejemplo:

– Haber recibido correos electrónicos, que contiene información en este formato:

  «¡Felicidades!» Has recibido una recomendación de un amigo desde www.inmobiliaria.com

– Tu amigo ZZZZ (ZZZZ@gmail.com) te ha recomendado el siguiente enlace:

   ALTAI o piso en venta o dúplex en venta, etc.”

El contenido de los mensajes generados contiene un link que apunta a una propiedad concreta junto con un segundo link que apunta a la página inicial de www.inmobiliaria.com. Siendo el receptor del correo el que voluntariamente debe activar el link para acceder a la propiedad anunciada.

 
14424-05-201721-09-2015Lista Robinson
144 – 24/05/2017 – SOPORTE / INFORMACIÓN / LSSICE (INTERNET)
¿Qué son las Listas Robinson?
Es un sistema de exclusión de la publicidad, totalmente gratuito y a disposición de los usuarios, gestionado por la Asociación Española de la Economía Digital (ADIGITAL) llamado Listas Robinson (https://www.listarobinson.es). Este servicio se ofrece para evitar la publicidad, sin consentimiento, dirigida a una persona física, a una dirección postal o a una dirección de email o número de teléfono concreto.

Las empresas de publicidad deberán consultar préviamente, antes de enviar la publicidad, dichas listas de personas inscritas en el servicio que no sean sus clientes, socios, etc., para evitar ser sancionadas si no existe una autorización o consentimiento para el envío de dicha publicidad.

 
14524-05-201724-09-2015Nota legal mediante link
145 – 24/05/2017 – SOPORTE / INFORMACIÓN / LSSICE (INTERNET)
La nota legal de un correo electrónico, ¿puede ser un link a una página web?
La opción de poner únicamente un link tipo «POLÍTICA DE PRIVACIDAD» y nada más, como nota legal en los correos electrónicos no cumple con la normativa LOPD, ya que no informa de la finalidad del tratamiento, ni del Responsable del mismo, ni de los derechos de los interesados.

Un link sin explicación no significa informar, sólo ofrece la posibilidad de poder informar. Puede ser un atenuante de una sanción, pero no puede excluirla.

En los casos en que se quiere dar la información, por ejemplo en varios idiomas, o se piense que la información es demasiado voluminosa como para ponerla en el pie del correo electrónico, el mínimo imprescindible para informar debería incluir el Responsable del tratamiento, la finalidad del mismo y el ejercicio de los derechos de los interesados, además de advertir que en caso de que no sea el destinatario de la misiva destruya el mensaje.


Ejemplo con suficiente información y con link a la política de privacidad:

«Este mensaje y los adjuntos pueden contener información confidencial, no estando permitida su comunicación, reproducción o distribución. Si usted no es el destinatario final, elimínelo y infórmenos por esta vía. De acuerdo con la LOPD, el informamos que sus datos personales forman parte de un fichero responsabilidad de EMPRESA SA, con el fin de mantener una relación comercial. Puede ejercer los derechos de acceso, rectificación, cancelación y oposición dirigiéndose a info@empresa.com.
Más información en POLITICA DE PRIVACIDAD – POLÍTICA DE PRIVACITAT – PRIVACY POLICY.«

Ejemplo con la mínima información y con link a la política de privacidad:

«Este mensaje puede contener información confidencial. Si usted no es el destinatario, elimínelo y infórmenos por esta vía. Puede obtener información del tratamiento de datos personales en nuestra POLITICA DE PRIVACIDAD – POLÍTICA DE PRIVACITAT – PRIVACY POLICY.«


 
14824-05-201714-10-2015Plano Google Maps en la web
148 – 24/05/2017 – SOPORTE / INFORMACIÓN / LSSICE (INTERNET)
¿Se puede poner un plano de Google Maps en la web? Cuando se incrusta un plano vinculado de Google Maps en la web se están instalando cookies de terceros, por lo que se debe informar al usuario que al acceder a la web se instalan este tipo de cookies, indicando el nombre de la cookie, el propietario (Google), la finalidad y su caducidad.

Para evitar poner esta información en la política de cookies y pedir el consentimiento para su instalación en el navegador del usuario, lo mejor es poner un gráfico del mapa sin ninguna vinculación real a Google Maps (por ejemplo una captura de pantalla), pudiendo poner un enlace en el mismo gráfico para que abra otra ventana del navegador que nos dirija a la web de Google Maps con las coordenadas que queramos (por ejemplo nuestra dirección).
De esta manera nuestro web no instalará directamente las cookies de Google Maps y la responsabilidad pasará a ser directamente de Google, ya que será en su web donde se van a instalar las cookies y será su deber el informar o pedir el consentimiento.

 
15624-05-201729-10-2015Información de datos personales en una APP
156 – 24/05/2017 – SOPORTE / INFORMACIÓN / LSSICE (INTERNET)
Una APP de móvil, ¿debe informar a los usuarios del tratamiento de datos personales?
El propietario de la APP será el Responsable del tratamiento de los datos personales de los usuarios de dicha aplicación, por lo que está obligado a detallar el tipo de datos va a tratar y a solicitar el consentimiento del usuario para el tratamiento de sus datos para una finalidad concreta.

Si además el Responsable del tratamiento desea comunicar estos datos a a un tercero, lo que sería una cesión de datos, también debe informar de esta cesión y de la finalidad de la misma, que debe estar incluida en alguna de las finalidades descritas por el Responsable, para las cuales el usuario ha dado su consentimiento.

Ejemplo para añadir un apartado a los Términos y condiciones de uso de la APP, sin ceder los datos:

De conformidad con lo establecido por la Ley Orgánica 15-1999, de 13 de diciembre, de Protección de datos de carácter personal, se informa que los datos de carácter personal proporcionados mediante la aceptación de los Terminos y Condiciones de uso de la APP, formarán parte de un fichero responsabilidad de …. RESPONSABLE …. y que estos serán tratados con la finalidad descrita en el «apartado 1.- Finalidad» de los mismos. Asimismo, se informa sobre la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición dirigiéndose a ….  DIRECCIÓN ARCO ….

Ejemplo para añadir un apartado a los Términos y condiciones de uso de la APP, cediendo los datos a terceros destinatarios:

De conformidad con lo establecido por la Ley Orgánica 15-1999, de 13 de diciembre, de Protección de datos de carácter personal, se informa que los datos de carácter personal proporcionados mediante la aceptación de los Terminos y Condiciones de uso de la APP, formarán parte de un fichero responsabilidad de …. RESPONSABLE …. y que estos serán tratados con la finalidad descrita en el «apartado 1.- Finalidad» de los mismos. Los datos personales podran ser cedidos a …. DESTINATARIO …. para la misma finalidad (o la que se decida). Asimismo, se informa sobre la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición dirigiéndose a …. DIRECCIÓN ARCO ….
20624-05-201712-02-2016Nueva obligación legal para ecommerce
206 – 24/05/2017 – SOPORTE / INFORMACIÓN / LSSICE (INTERNET)
 
A partir del lunes 15 de febrero de 2016 existe una nueva obligación legal para e-commerce, creada por la Comisión Europea, en virtud del Reglamento (UE) 524/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, para la resolución de conflictos online entre consumidores y comerciantes de tiendas virtuales mediante comercio electrónico, sin necesidad de recurrir a los tribunales de justicia.
 
Para ello, la Comisión ha habilitado una plataforma denominada Online Dispute Resolution, que engloba todas las formas existentes de resolver las reclamaciones: mediación, conciliación, arbitraje, defensor del consumidor y oficina de reclamaciones.
 La plataforma Online Dispute Resolution 
La finalidad perseguida con esta plataforma es la resolución de litigios entre empresas y consumidores mediante la intervención de un tercero, llamado Organismo de resolución de litigios, que actúa de intermediario entre ambos. Este organismo es neutral y dialogará con ambas partes para lograr un acuerdo, pudiendo finalmente sugerir y/o imponer una solución al conflicto.
 Obligaciones para los vendedores online 
Los vendedores de cualquier e-commerce deberán informar a los compradores sobre la existencia de esta plataforma mediante un aviso legal en el sitio web o por correo electrónico, según sea el procedimiento de compra, con un enlace a la misma: http://ec.europa.eu/consumers/odr/. Esta información también deberá estar reflejada en los términos y condiciones generales aplicables al contrato de uso del servicio de comercio electrónico.
 Procedimiento para registrar una reclamación 
Cuando un comprador (consumidor) o vendedor (empresa) tenga un conflicto relacionado con el servicio contratado y quiera evitar un procedimiento judicial, podrá registrar la reclamación en la plataforma y elegir un Organismo de resolución común para que la tramite. Aunque el registro en la plataforma es gratuito, cada Organismo tiene sus propias normas y procedimientos y puede tener un coste. 
 Más información: http://europa.eu/pol/pdf/flipbook/es/consumer_es.pdfhttp://ec.europa.eu/consumers/solving_consumer_disputes/docs/adr-odr_for_web.pdfhttp://ec.europa.eu/consumers/solving_consumer_disputes/docs/adr-odr.factsheet_web.pdfhttp://www.aecosan.msssi.gob.es/AECOSAN/web/consumo/campanyas/odr.shtml