A medida que el mundo depende cada vez más de los productos y servicios digitales, la privacidad de los datos se ha convertido en una prioridad de primer nivel para muchos países y regiones. En consecuencia, muchas regiones han establecido normativas de protección de datos sólidas y exigibles que las empresas deben respetar.
En la mayoría de los casos, el incumplimiento de estas normativas puede tener importantes consecuencias financieras, así como perjudicar de forma significativa y duradera la confianza pública y la reputación de tu organización. Por ello, es importante que te asegures de que tu empresa cumple con sus obligaciones legales.
Según la gran mayoría de legislaciones, si tratas datos personales, por normal general, debes divulgar tus actividades de tratamiento de datos mediante una política de privacidad exhaustiva, garantizar que existen medidas de seguridad efectivas para proteger los datos personales e implementar métodos para obtener el consentimiento de los usuarios o facilitar su retirada.
Esta información de privacidad debe estar actualizada, ser comprensible, inequívoca y fácilmente accesible en tu web/app. Algunos componentes pueden variar dependiendo del tipo de tratamiento de datos que realices, la región geográfica, la edad de tus usuarios o el tipo de empresa que gestiones. Por ello, cabe destacar que, además de los aspectos generales aquí descritos, puedes tener otras responsabilidades dependiendo de la normativa aplicable en tu caso. Puedes encontrar más información sobre situaciones específicas en las siguientes secciones.
En general, se debe informar a los usuarios de:
Además, es posible que tengas que divulgar información adicional a los usuarios, a los terceros y a la autoridad de control dependiendo de la normativa aplicable en tu caso.
Una de estas leyes es la Ley de Privacidad de los Consumidores de California (CCPA). Según la CCPA, se debe informar a los usuarios de la posibilidad de que se vendan sus datos personales (puedes entender el concepto de “venta”, en este contexto, como “compartir datos con terceros a cambio de alguna contraprestación, monetaria o de otro tipo”). La comunicación a los usuarios debe ser visible desde la página principal del sitio web y debe incluir un enlace de exclusión voluntaria (No Vendan Mi Información Personal, DNSMPI). Puedes encontrar más información sobre conformidad con la CCPA aquí.
En este contexto, el consentimiento se refiere al acuerdo voluntario e informado de un individuo a participar en un evento o proceso concretos.
En términos generales, los usuarios deben tener la opción de rechazar, retirar u otorgar (dependiendo de cada ley regional) su consentimiento. Se puede obtener el consentimiento mediante cualquier método que requiera que el usuario realice una acción afirmativa directa y verificable. Tales acciones pueden incluir casillas de verificación, campos de texto, botones de activación, enviar un correo electrónico de confirmación, etc.
Generalmente, se te aplican las leyes de una región concreta si:
Esto significa que puede que te sean aplicables determinadas normativas regionales (a ti o a tu organización), independientemente de que tengas tu sede en dicha región o no. Por ello, siempre es recomendable que abordes todo lo relativo a tus actividades de tratamiento de datos teniendo en cuenta las normativas más estrictas. Puedes encontrar más información sobre las leyes que te son aplicables aquí.
En EE. UU. no existe una única normativa de protección de datos a nivel nacional. Sin embargo, sí que existen diversas leyes estatales, así como directrices sectoriales y leyes federales específicas. Como la actividad online de un sitio web o una app raramente se limita a un solo estado, siempre es mejor adaptarse a la regulación aplicable más estricta. Teniendo en cuenta lo anterior, el marco normativo más robusto, en lo relativo a las leyes de protección de datos, es el del estado de California. La Ley de Protección de la Privacidad en Internet de California (CalOPPA), en vigor desde 2004, fue la primera ley estatal en hacer que las políticas de privacidad fueran obligatorias y se aplica a cualquier persona o empresa cuya web o app trate datos personales de residentes californianos.
Además de las obligaciones de divulgación de información generales mencionadas anteriormente, la CalOPPA también exige que:
En lo relativo al consentimiento, la legislación de EE. UU. generalmente exige que proporciones a tus usuarios una opción clara para retirar su consentimiento (exclusión voluntaria). Sin embargo, en supuestos relativos a “datos sensibles” (por ejemplo, información sanitaria, informes crediticios, datos estudiantiles, información personal de niños menores de 13 años) se aplican normas distintas. En dichos casos, debe haber una acción de participación verificable, como marcar una casilla u otro tipo de acción afirmativa.
Si tu servicio recopila, utiliza o difunde conscientemente información personal de niños menores de 13 años, serán de aplicación normas especiales respecto de dichas actividades de tratamiento de datos.
La Ley de Protección de la Privacidad de los Menores en Internet (COPPA) es una ley federal de EE. UU. que tiene como objetivo proteger los datos personales y los derechos de los niños menores de 13 años.
Según esta ley, si gestionas un sitio web o un servicio online que se dirija a menores de 13 años o si eres consciente de que estás recopilando información personal de menores de 13 años, debes avisar a los padres o tutores y obtener su consentimiento verificable antes de recopilar, utilizar o difundir la información, así como garantizar la seguridad de la información obtenida.
“Verificable”, en este contexto, significa que debes utilizar un método de obtención de consentimiento que no pueda ser fácilmente falsificado por un niño y que permita demostrar que probablemente ha sido otorgado por un adulto (por ejemplo, mediante la comprobación de un documento de identidad oficial).
“Información personal”, en este contexto, se refiere a:
💡 Más información sobre los requisitos legales relativos a los menores y la COPPA.
El Reglamento General de Protección de Datos (RGPD) se promulgó con el fin de centralizar la protección de datos de los usuarios en la UE. Entró en vigor en mayo de 2018. Básicamente, el RGPD establece cómo se deben tratar los datos personales de forma legal (incluyendo la forma en que se recopilan, utilizan y protegen o cómo se interactúa con ellos).
El RGPD se aplica cuando:
En la práctica, este ámbito de aplicación abarca a casi todas las empresas y, por lo tanto, significa que el RGPD te puede afectar independientemente de si tu organización tiene su sede en la UE o no.
Nota: La protección proporcionada por el RGPD también alcanza a usuarios localizados fuera de la UE si el responsable del tratamiento tiene su sede en la UE. Por lo tanto, si eres un responsable del tratamiento de datos personales y tienes tu sede en la UE, por defecto, debes aplicar los estándares de protección del RGPD a TODOS tus usuarios.
Las condiciones de aplicabilidad del RGPD se establecen desde un punto de vista material y territorial. Para determinar si una actividad de tratamiento de datos determinada está exenta de la aplicación de esta norma, tenemos que considerar ambos aspectos.
El RGPD se aplica al tratamiento de datos personales. Por lo tanto, el RGPD no se aplica a los datos empresariales, como la denominación social de una empresa y su dirección. Sin embargo, hay que tener cuidado en este sentido, porque en una empresa normalmente trabajan “personas físicas”, por lo que cualquier dato que se refiera a ellas se considerará “personal”, independientemente de si el tratamiento de dichos datos se produce en un contexto de Negocio a Consumidor (B2C) o de Negocio a Negocio (B2B).
Además, es posible que los datos personales no entren dentro del ámbito de aplicación del RGPD en otras situaciones, incluyendo cuando una persona física realiza el tratamiento con fines puramente personales o domésticos. Puedes encontrar más información al respecto en nuestra guía específica haciendo clic aquí.
Además de lo anterior, y sin perjuicio de lo comentado más arriba, ya hemos mencionado en qué condiciones se aplica el RGPD. En consecuencia, para que una actividad de tratamiento no esté sujeta al RGPD desde un punto de vista territorial, se deben reunir acumulativamente las siguientes condiciones:
Para ver ejemplos en nuestra guía específica, haz clic aquí.
View live demos and have your questions answered in real time by attending one of our free English webinars. They are all practical and designed to really help you with understanding and achieving compliance for your websites or apps.
Attend our free webinarsEn general, el RGPD te obliga a:
Tener una base jurídica. El RGPD exige que tengas al menos una base jurídica para tratar los datos personales de tus usuarios. Existen 6 bases jurídicas según el RGPD.
Obtener un consentimiento verificable. Según el RGPD, el consentimiento es una de las posibles bases jurídicas para el tratamiento de datos personales de los usuarios y, por lo tanto, se debe otorgar de forma “libre, específica, informada y explícita”. Esto significa que el mecanismo para la obtención del consentimiento debe ser inequívoco e incluir una clara acción de “participación” (el Reglamento prohíbe específicamente las casillas preseleccionadas y otros mecanismos similares de “exclusión voluntaria”).
El RGPD también otorga a los usuarios el derecho específico a retirar su consentimiento y, por lo tanto, la retirada debe ser tan sencilla como su concesión. Como el consentimiento en virtud del RGPD es un asunto tan importante, es esencial que mantengas registros claros relacionados con el mismo.
El registro de consentimientos debe contener al menos la siguiente información:
El consentimiento no es la ÚNICA razón en virtud de la cual una organización puede tratar datos de los usuarios, sino que es simplemente una de las “bases jurídicas” existentes. Por lo tanto, las empresas pueden emplear otras bases jurídicas (dentro del ámbito de aplicación del RGPD) para sus actividades de tratamiento de datos. Dicho esto, siempre habrá actividades de tratamiento de datos en las que el consentimiento sea la única o mejor opción.
Muchas autoridades de protección de datos de la UE han reforzado sus requisitos y han alineado sus reglas sobre cookies y rastreadores con los requisitos del RGPD. Más específicamente, se requiere que registres y almacenes pruebas de las preferencias de tus usuarios.
Los Registros de Preferencias de Cookies ahora están disponibles en nuestro servicio Privacy Controls and Cookie Solution.
Clic aquí para obtener más información acerca de cómo activar los registros de preferencias de cookies dentro de Privacy Controls and Cookie Solution.
Según el RGPD, los usuarios tienen una serie de derechos legales en relación con sus datos personales. Como responsable del tratamiento, no solo debes respetar estos derechos, sino que tienes que informar a tus usuarios sobre ellos. Estos derechos incluyen:
Cumple los requisitos específicos si transfieres datos fuera de la EEE. El RGPD permite la transferencia de datos de residentes en la UE fuera del Espacio Económico Europeo (EEE) solo si se cumplen una serie de condiciones.
Implementa la privacidad desde el diseño y por defecto. Según el RGPD, la protección de datos debería incluirse desde el inicio en el diseño y desarrollo de los procesos empresariales y de infraestructura.
Informa sobre las violaciones de seguridad. Según el RGPD, estás obligado a informar a la autoridad de control de las violaciones de seguridad que afecten a datos de los usuarios en el plazo de 72 horas desde que tuviste conocimiento de la violación. En muchos casos, también estás obligado a informar a los usuarios afectados.
Nombra un DPD (cuando se cumplan una serie de condiciones). En determinadas condiciones, puede que estés obligado a nombrar a un Delegado de Protección de Datos (DPD), que debera supervisar todas las actividades de tratamiento de datos que realices, así como tu conformidad con la ley aplicable. Entre los supuestos en los que es obligatorio el nombramiento de un DPD se incluyen aquellos en los que se realice un tratamiento sistemático y a gran escala de datos de los usuarios, así como aquellos casos en los que se están tratando categorías especiales de datos (como datos sensibles).
Debes mantener un registro de tus actividades de tratamiento. Tal y como establece el artículo 30 del RGPD, debes mantener actualizado un registro “completo y exhaustivo” de tus actividades de tratamiento de datos. El registro completo y exhaustivo de las actividades de tratamiento se exige expresamente en aquellos casos en los que dichas actividades de tratamiento de datos no son ocasionales, cuando pueden entrañar un riesgo para los derechos y libertades de terceros, cuando implican el tratamiento de “categorías especiales de datos” o cuando tu organización tiene más de 250 empleados. En la práctica, esto incluye a casi todos los responsables y encargados del tratamiento de datos. Sin embargo, aunque tus actividades de tratamiento no se incluyan en ninguna de estas situaciones, tu deber de informar a los usuarios te impone la obligación de mantener un registro básico con los datos que recopilas, sus fines, todas las partes implicadas en el tratamiento de los mismos y el plazo de conservación de los datos, lo que es obligatorio para todos. Puedes encontrar más información sobre cómo mantener registros conforme a la normativa para responsables y encargados del tratamiento en nuestra Guía del RGPD.
Realiza una EIPD (cuando se cumplan ciertas condiciones). En aquellos casos en los que es probable que la actividad de tratamiento de datos implique un alto riesgo para los usuarios, el RGPD exige que se realice una Evaluación de Impacto Relativa a la Protección de Datos (EIPD).
💡 Puedes leer más sobre el RGPD aquí.
Dado que el uso de cookies puede implicar tanto el tratamiento de datos de los usuarios como la instalación de archivos en sus dispositivos, estas herramientas son una gran fuente de preocupación en lo que respecta a los derechos de privacidad de los datos de los usuarios. La Directiva ePrivacy (o Ley de Cookies) se promulgó para abordar este problema.
Según la Ley de Cookies, las organizaciones que se dirijan a usuarios de la UE deben informar a los usuarios sobre sus actividades de recogida de datos y darles la opción de elegir si las permiten o no. Esto significa que si tu sitio web o app (o cualquier servicio de terceros utilizado por tu sitio web o app) utiliza cookies, debes obtener un consentimiento válido antes de instalar dichas cookies, excepto en el supuesto de que esas cookies entren dentro de la categoría de cookies exentas.
💡 Para saber más sobre las normas de consentimiento sobre cookies de la UE que se aplican en cada país, consulta aquí nuestra guía RGPD y consentimiento de cookies: tabla de resumen.
En la práctica, tendrás que mostrar un banner en la primera visita del usuario, establecer una política de cookies que contenga toda la información obligatoria e informar a los usuarios sobre los medios a su disposición para rechazar el tratamiento de sus datos o retirar su consentimiento. Antes de obtener este consentimiento informado y expreso, no se podrán instalar cookies (salvo aquellas que estén exentas).
Como se ha mencionado anteriormente, el “consentimiento” es una de las seis bases jurídicas admitidas por el RGPD y se debe expresar y documentar de una forma muy específica para que se considere válido.
La pregunta es: ¿tienes que tratar el consentimiento para el uso de cookies de la misma forma que el consentimiento “normal” para actividades de tratamiento de datos (por ejemplo, para enviar newsletters)?
Si la respuesta fuera “sí”, significaría que tendrías que cumplir con todos los requisitos para la validez del consentimiento, que son bastante amplios, incluso al instalar cookies. Sin embargo, a día de hoy, la mayoría de comentaristas están de acuerdo en que esto sería inviable y que no es la intención del legislador de la UE. Por lo tanto, los requisitos simplificados de la Directiva ePrivacy todavía se consideran aplicables a la instalación de cookies, principalmente a raíz del artículo 95 del RGPD. Sin embargo, ten en cuenta que este es un tema muy debatido. Esta cuestión no se resolverá hasta que se promulgue el nuevo Reglamento ePrivacy, actualmente en desarrollo.
El banner debe:
La Política de cookies debe:
De conformidad con los principios generales de la normativa de privacidad, que no permite el tratamiento de los datos antes de obtener el consentimiento, la Ley de Cookies no permite la instalación de cookies antes de obtener el consentimiento del usuario. En la práctica, esto significa que tendrás que utilizar alguna forma de bloqueo de los scripts de cookies antes de obtener el consentimiento del usuario.
Dependiendo de la autoridad local, estas acciones pueden incluir seguir navegando, hacer clic en enlaces o desplazarse por la página. En muchos casos, hacer clic en “ok”, cerrar el banner o seguir navegando en un sitio web que instale cookies puede considerarse consentimiento activo a la colocación de dichas cookies, siempre que los usuarios hayan sido informados previamente y de forma clara de las consecuencias de estas acciones.
Algunas cookies están exentas del requisito de consentimiento y, por lo tanto, no hay que bloquearlas de forma preventiva (aunque sigues estando obligado a informar a los usuarios sobre tu uso de cookies; consulta el cuadro de advertencia a continuación). Las exenciones son las siguientes:
*Es posible que esta exención no se aplique a todas las regiones, ya que depende de las normativas locales específicas.
La exención al requisito de consentimiento tan solo se aplica de forma inequívoca a las cookies técnicas que no realizan seguimiento y que son estrictamente necesarias para el funcionamiento de los servicios que hayan sido expresamente solicitados por el usuario.
Un ejemplo práctico de esta exención sería el supuesto de un sitio de comercio electrónico que permite a sus usuarios “retener” artículos en su carrito mientras navegan por la página o a lo largo de la duración de una sesión. En esta situación, las cookies técnicas son necesarias para el funcionamiento del servicio de compra. Además, han sido explícitamente solicitadas por el usuario al indicar que quería añadir un producto a su carrito. Sin embargo, debes tener en cuenta que estas cookies técnicas basadas en cada sesión no son cookies de seguimiento.
Otros ejemplos de estas cookies técnicas serían las cookies de sesión centradas en el usuario que se utilizan para detectar abusos de autenticación, las cookies de sesión de equilibrio de carga, las cookies de sesión del reproductor multimedia que se refieren a la prestación de servicios solicitados por el usuario y que son necesarias para dicha prestación.
¿Significa esto que no tengo por qué tener un banner de cookies en estos casos?
En primer lugar, es importante destacar que aunque se aplique esta excepción al requisito de consentimiento, todavía tendrás que informar al usuario del uso de cookies a través de una política de cookies. El banner no es necesariamente obligatorio en este ejemplo concreto si la política de cookies es fácilmente accesible y visible desde todas las páginas de tu sitio web.
En el futuro, la Directiva ePrivacy será reemplazada por el Reglamento ePrivacy, que regulará la materia junto con el RGPD. Se espera que este próximo Reglamento opere de acuerdo con los mismos valores que la Directiva.
💡 Puedes leer más sobre la Ley de Cookies aquí.
La FADP, creada en 1992 y actualizada parcialmente en 2019, regula la privacidad de los datos en Suiza. La última revisión, la cual se aprobó el 25 de septiembre de 2020 y entró en vigor a partir de septiembre de 2023, integra nuevas disposiciones parecidas al RGPD, si bien mantiene los principios suizos que caracterizan a esta Ley.
💡 Puedes obtener más información sobre la última revisión de la Ley Federal de Protección de Datos de Suiza aquí →
Aunque existen numerosos matices entre ambas leyes, las diferencias más notables son las siguientes:
En conclusión, las empresas, en particular las que operan en Suiza o con Suiza, deben familiarizarse con las nuevas previsiones de la FADP. Plataformas como iubenda pueden ayudar a garantizar el cumplimiento, para lo que es necesario disponer de una sólida política de privacidad y cookies. Conforme evoluciona la normativa internacional sobre protección de datos, las organizaciones de todo el mundo deben estar al día y garantizar su conformidad.
🚀 Consulta aquí cómo cumplir la FADP →
En general, estos requisitos se abordan a través de un documento de términos y condiciones válido y actualizado (también denominado ToS: términos de servicio, términos de uso o EULA: contrato de licencia de usuario final).
Además de las obligaciones de divulgación de información y los requisitos mencionados anteriormente (y sujetos a tu normativa aplicable), si gestionas un sitio web o una app de comercio electrónico, también estás sujeto a la legislación mercantil aplicable y a las reglas del sector en el que operes.
Por lo general, las personas involucradas en transacciones comerciales B2B están sometidas a los contratos y a las directrices sectoriales y nacionales que sean aplicables. Sin embargo, la participación en el comercio B2B a menudo requiere que se traten datos personales (ya sean de los empleados de la empresa o de terceros). En dichos casos, y cuando el tratamiento se encuentre dentro de su ámbito de aplicación, el RGPD es aplicable y tiene prioridad.
Según las leyes de protección de los consumidores de la mayoría de los países, al vender a consumidores, además de cumplir las obligaciones de divulgación de información sobre privacidad exigidas por defecto, tendrás que informar a tus clientes de lo siguiente:
En EE. UU., no existe una sola ley a nivel nacional que regule las devoluciones o los reembolsos para compras online, ya que en la mayoría de los casos estas reglas se aplican a nivel estatal. Sin embargo, según las normativas de varios estados, si no se muestra un aviso a los consumidores con las condiciones de devolución o reembolso antes de la compra, los consumidores obtendrán automáticamente derechos de devolución o reembolso adicionales. En aquellos casos en los que el producto adquirido fuera defectuoso, es posible que se aplique una garantía implícita en lugar de una garantía escrita. Las garantías escritas deben cumplir, como mínimo, con los estándares de equidad del sector.
Si bien los requisitos de divulgación de información del comercio electrónico en EE. UU. siguen siendo en gran medida aplicables estado por estado, en muchos casos se considera una práctica estándar incluir esta información mediante un documento de Términos y Condiciones. Además, la información sobre las devoluciones y reembolsos se incluye habitualmente en secciones de contenido específicas del sitio web o de la app que sean fácilmente accesibles desde la página de descripción del producto.
La legislación de protección de los consumidores de la UE se aplica a los contratos u otras relaciones jurídicas entre consumidores, por un lado, y profesionales, negocios o empresas por otro (B2C). No es aplicable a las relaciones B2B (por ejemplo, cuando un supermercado hace un pedido a su proveedor de fruta) o C2C (por ejemplo, si vendo mi bicicleta vieja en eBay).
Entre otros beneficios, según la legislación de protección de los consumidores de la UE, los consumidores tienen un derecho de desistimiento incondicional en el plazo de 14 días (lo que se conoce como período de reflexión o “cooling off”). Esto significa que los consumidores pueden cancelar o desistir de un contrato a distancia (ventas realizadas online, por teléfono, por correo) por cualquier motivo o sin alegar ninguno durante los 14 días posteriores a la recepción del producto (en el caso de bienes).
Cabe destacar que esos 14 días son el mínimo legal. En determinados países, sus normativas nacionales pueden ampliar este período. Además, ciertos vendedores pueden ampliarlo contractualmente.
Este derecho a desistir del contrato no es aplicable en todas las situaciones.
Algunas exenciones comunes son:
Los consumidores ubicados en la UE también cuentan con la protección de una garantía legal por defecto de 2 años sobre los productos que adquieran, sin coste adicional. De nuevo, la garantía de 2 años es el mínimo legal. En determinados países, las leyes nacionales pueden ampliar este período. Además, ciertos vendedores pueden ampliarlo contractualmente.
Estas normas habitualmente se aplican a cualquier empresa que venda sus productos a residentes en la UE, pero pueden variar de cara a vendedores internacionales, caso por caso. Sin embargo, cabe destacar que, en casos recientes, los tribunales de EE. UU. han decidido aplicar la legislación aplicable de la UE.
¿Cuál es la diferencia entre devolver un producto por desistimiento y devolverlo en virtud de una garantía?
| Derecho de desistimiento | Garantía legal |
|---|---|
| Válido durante 14 días desde la recepción del producto o la firma del contrato | Válida durante 24 meses desde la recepción del producto |
| No necesitas tener ninguna razón para ejercer este derecho: simplemente, puedes cambiar de opinión | Solo puedes devolver un producto en virtud de la garantía porque es defectuoso o de alguna otra manera no resulta apto para los fines para los que fue vendido y comprado |
| Es posible que tengas que asumir los costes de devolución del producto (pero debe especificarse) | No se te puede exigir que asumas ningún coste (si el producto es defectuoso es “culpa del vendedor”) |
| Se aplica con algunas excepciones (algunas de las cuales se han mencionado anteriormente) | Siempre se aplica a los productos, pero nunca a los servicios |
La legislación de la UE también exige que los vendedores informen a los consumidores sobre la plataforma europea de resolución de litigios en línea (RLL) mediante un enlace directo. La RLL, o “resolución de litigios en línea”, es un procedimiento que permite a los consumidores de la UE presentar reclamaciones de forma sencilla (en lo relativo a ventas online) contra empresas que también estén establecidas en la UE. Esto significa que los requisitos de la RLL también son aplicables a empresas de EE. UU. que tengan algún tipo de presencia física en la UE.
Nota: Tras el Brexit los negocios con base en el Reino Unido y los consumidores situados en el Reino Unido ya no podrán acceder a la plataforma RLL.
En general, los sitios web de propiedad privada (o perfiles privados en redes sociales, blogs, etc.) que solo tengan un fin privado y personal no están sujetos a normativas adicionales. Sin embargo, varias leyes nacionales y de la UE exigen que los operadores comerciales por Internet revelen cierta información.
Para ser considerado “comercial”, no es necesario que “vendas” nada: un sitio web personal fácilmente podría ser considerado comercial si, por ejemplo, genera un tráfico considerable y, por lo tanto, produce un beneficio publicitario significativo (este es el caso, por ejemplo, de los influencers). Sin embargo, si efectivamente “vendes” productos o servicios, se incrementan tus obligaciones informativas.
Si vendes directamente a consumidores (B2C), tendrás que asumir unas obligaciones de información adicionales, incluyendo, entre otras, todas las mencionadas anteriormente, así como incluir un enlace a la plataforma europea de resolución de litigios en línea para consumidores, precisar los tiempos de entrega, ofrecer información sobre tus precios y los impuestos aplicables según lo dispuesto en la Directiva 83/2011/EU, etc.
Una dirección de correo electrónico se considera un dato personal. Por lo tanto, la normativa en materia de privacidad entra en juego cuando se tratan direcciones de correo electrónico. Como ya se ha mencionado, según la mayoría de legislaciones estás obligado a proporcionar una información amplia sobre tus actividades de tratamiento de datos, sus fines y los derechos de los usuarios.
En general, estas normas se aplican a cualquier servicio dirigido a los residentes en la región, lo que significa que pueden aplicarse a tu empresa, independientemente de que tenga su sede en dicha región o no. Esto es incluso más relevante si estás utilizando una lista de correo electrónico comprada, ya que en ese caso puede que no conozcas el país de residencia del destinatario.
Por ello, siempre es recomendable que abordes todo lo relativo a tus actividades de tratamiento de datos teniendo en cuenta las normativas más estrictas.
Según la Ley de Control del Asalto de la Pornografía y de la Comercialización No Solicitada (CAN-SPAM) de la Comisión Federal de Comercio (FTC) de EE. UU., no es necesario obtener el consentimiento antes de añadir a los usuarios de EE. UU. a tu lista de correo o enviarles mensajes comerciales. Sin embargo, es obligatorio proporcionar a tus usuarios un mecanismo claro para rechazar cualquier contacto futuro.
Según la legislación de la UE (es decir, el RGPD) es obligatorio obtener el consentimiento informado del usuario antes de suscribirlo a tu servicio. Según la normativa de la UE, adquirir el consentimiento es un procedimiento con dos partes, que incluye informar al usuario y obtener un consentimiento verificable mediante una acción afirmativa.
💡 Puedes encontrar más información sobre los requisitos legales relacionados con las listas de correo electrónico y newsletters aquí.
La Ley de Protección de la Privacidad de los Menores en Internet (COPPA) es una ley federal de EE. UU. que tiene como objetivo proteger los datos personales y los derechos de los niños menores de 13 años de edad. Según la COPPA, los operadores de sitios web o servicios online que se dirijan a niños menores de 13 años, o que sean conscientes de que están recopilando información personal de niños de esta edad, deben avisar a sus progenitores y obtener su consentimiento verificable antes de recopilar, utilizar o difundir dicha información personal, así como garantizar la seguridad de la información que recogen de los menores.
Tener una política de privacidad conforme a la COPPA es un requisito fundamental de esta ley. Puedes encontrar más información sobre conformidad legal en las siguientes secciones y aprender más sobre la COPPA aquí.
Según el RGPD de la UE, el consentimiento es una de las bases jurídicas para el tratamiento de los datos de los menores. Si utilizas esta base jurídica para el tratamiento de datos personales de niños menores de 13 años, debes obtener un consentimiento verificable de un progenitor o tutor legal, a no ser que el servicio que ofrezcas sea un servicio preventivo o de asesoramiento.
💡 Puedes encontrar más información sobre los requisitos legales en relación a los menores aquí.
Aunque, desde un punto de vista jurídico, no siempre es obligatorio tener un documento de Términos y Condiciones (T&C) (también conocido como términos de servicio, contrato de licencia de usuario final o acuerdo de términos de uso) normalmente es necesario por razones prácticas y de seguridad. Este documento te permite regular la relación contractual existente entre tú y tus usuarios y, por lo tanto, resulta esencial, en particular, para establecer los términos de uso y protegerte de posibles responsabilidades.
El documento de términos y condiciones es, esencialmente, un acuerdo legalmente vinculante. Por lo tanto, no solo es importante establecerlo, sino que también es necesario garantizar que cumple con todos los requisitos legales.
En general, se aplicarán las condiciones contractuales estándar. Según la mayoría de legislaciones, los contratos empleados por los comerciantes deben ser justos. Esto significa que el documento debe estar actualizado y al día con todas las normativas aplicables, ser preciso, visible y comprensible, para que todos los usuarios puedan verlo fácilmente y aceptarlo.
La “acción de aceptación” debe ser inequívoca (por ejemplo, hacer clic en una casilla con un enlace visible al documento antes de poder crear una cuenta o utilizar el servicio).
Si bien el contenido completo del documento dependerá de las características de tu empresa, los Términos y Condiciones deberían incluir, como mínimo:
💡 Puedes encontrar más información sobre los Términos y Condiciones aquí así como sobre cómo crearlos.
Las apps y servicios de terceros también tienen que cumplir la ley. Al ser organizaciones, también pueden exponerse a daños reputacionales, así como a multas y sanciones si no cumplen con sus obligaciones legales. Por esta razón, a menudo es obligatorio que todos los socios y clientes que empleen sus servicios cumplan los estándares normativos.
En general, exigen que las organizaciones que utilicen sus servicios dispongan de una política de privacidad conforme a la ley (y una política de cookies si emplean cookies) que informe sobre los datos relevantes de la relación entre ambos y los servicios prestados.
Las apps y servicios de terceros también tienen que cumplir la ley. Por esta razón, a menudo es obligatorio que todos los socios y clientes que empleen sus servicios cumplan los estándares normativos
Un buen ejemplo es Google. Para acceder a ciertos servicios y herramientas (como AdSense, Google Analytics, Google Play Store), Google te exige que dispongas de una política de privacidad completa y actualizada. Aquí tienes un extracto de las condiciones de uso de Google Analytics:
“[El Usuario debe] publicar una Política de Privacidad que avise del uso de cookies para recoger datos de tráfico” y “El Usuario no debe eludir ninguna función de privacidad (p. ej., la opción de darse de baja) que forme parte del Servicio.”
Otro ejemplo es el de Amazon. Aquí tienes un extracto de sus condiciones de uso:
Hemos ampliado el requisito de divulgar nuestra relación de afiliado a cualquier medio en el que puedas aprovechar el contenido de Asociados.
De vez en cuando, los requisitos de terceros pueden cambiar en respuesta a normativas internas o regionales. Por ello, es necesario garantizar que tus políticas cumplen con los requisitos más recientes, con el fin de evitar posibles sanciones o interrupciones del servicio.
Las consecuencias legales del incumplimiento incluyen:
La falta de conformidad con la CalOPPA o la COPPA puede dar lugar a que los funcionarios gubernamentales presenten una demanda o traten de imponerte multas de carácter civil. Por ejemplo, se impuso una multa de 130.000$ a los propietarios del sitio web Imbee por infringir la COPPA al haber permitido que niños menores de 13 años se registraran en su web sin consentimiento de los progenitores o tutores.
Se pueden imponer multas similares en virtud de otras leyes estatales y federales. La falta de conformidad con las exigencias legales del RGPD puede conducir a la imposición de multas de hasta 20 millones de euros o del 4% de la facturación mundial anual (lo que sea mayor).
Si se descubre que estás violando alguna normativa, se te pueden imponer una serie de medidas disciplinarias. Estas medidas pueden incluir, entre otras, apercibimientos oficiales (cuando se trate de la primera infracción cometida) y auditorías periódicas de protección de datos. El RGPD otorga a los usuarios un derecho expreso a presentar una reclamación ante una autoridad de control si consideran que alguna de las actividades de tratamiento de sus datos personales se ha llevado a cabo en violación de la normativa vigente.
Así, por ejemplo, si se presenta un informe a la autoridad competente sobre una infracción legal, dicha autoridad puede decidir realizar una auditoría de tus operaciones de tratamiento de datos. Si se descubre que alguna actividad de tratamiento se ha realizado de forma ilícita, no solo se impone una multa, sino que se te puede prohibir volver a utilizar los datos de la consulta. Esto significa que si la infracción cometida estaba relacionada con la recogida de direcciones de correo electrónico, corres el riesgo de que se te prohíba utilizar toda la lista de correo electrónico asociada.
La falta de conformidad con la legislación de protección de los consumidores o sobre competencia (leyes contra la competencia desleal) puede acarrear multas por parte de las autoridades competentes (sobre todo a nivel nacional).
Es un principio general del Derecho Civil que debes compensar los daños que hayas causado injustamente a otra persona, especialmente si se deben a la violación de un precepto legal. Entre otras leyes, tanto el RGPD como la CalOPPA otorgan a los usuarios individuales el derecho a reclamar una compensación por cualquier tipo de daños que hayan sufrido a causa de una violación de sus derechos. Este mismo razonamiento se aplica a cualquier otra ley, como las disposiciones en materia de protección de los consumidores de la UE.
Recuerda que la responsabilidad civil por daños se aplica a todas las relaciones jurídicas: un socio empresarial puede tener derecho a una compensación si has infringido alguna ley. Por ejemplo, vender productos falsificados a través de una plataforma asociada como Amazon puede hacer que la empresa emprenda acciones legales en tu contra junto con los clientes que hayan comprado los productos falsificados.
Algunos servicios de terceros (incluyendo marketplaces y tiendas de apps) pueden incluir la conformidad con leyes específicas como parte de sus condiciones de uso: la violación de sus condiciones puede conllevar el cese del servicio o, potencialmente, prohibiciones permanentes.
Aquí tienes un ejemplo de los Términos y Condiciones de la Red de Socios de AWS en relación con el consentimiento:
Para los datos de terceros que proporcione a AWS, usted declara y garantiza que ha recibido todos los consentimientos necesarios para (a) compartir los Datos de Terceros con AWS y sus filiales, y (b) que AWS y sus filiales utilicen estos Datos de Terceros para contactar a su(s) interesado(s) con el fin de comercializar nuestros bienes y servicios y el Programa.
Por último, pero quizás lo más importante, cuando se reúnen determinadas condiciones, es posible que existan consecuencias legales de carácter penal. Si, por ejemplo, violas o ignoras voluntariamente las normas de protección de datos con fines comerciales (por ejemplo, si vendes los datos personales de un grupo de personas sin decírselo) puedes enfrentarte a graves consecuencias. Sin embargo, el Derecho penal es en gran medida una cuestión que se dirime a nivel nacional: las condiciones y consecuencias deben comprobarse caso por caso.
Creemos en la importancia de adoptar un enfoque integral para el cumplimiento de las leyes de protección de datos. Por ello, nos mantenemos al día sobre las principales legislaciones y diseñamos soluciones teniendo en cuenta las normativas más estrictas, ofreciéndote todas las opciones necesarias para personalizarlas según tus necesidades.
De esta forma, puedes asegurarte de que cumples con todas tus obligaciones legales (con independencia del lugar en el que se encuentren tus clientes), reduciendo el riesgo de litigios y protegiendo a tus clientes, lo que genera confianza y credibilidad.
Nos mantenemos al día sobre las principales legislaciones y diseñamos soluciones teniendo en cuenta las normativas más estrictas
Estos son los elementos básicos que necesitas para lograr una conformidad legal plena:
Tal y como se ha mencionado anteriormente, debes informar a tus usuarios sobre cómo utilizas sus datos personales. En consecuencia, tener una política de privacidad es un requisito legal en casi todos los lugares del mundo. Este documento jurídico debe indicar la forma en la que tu sitio web o tu app recoge, trata, almacena, comparte y protege los datos de los usuarios, así como los fines con que lo haces y los derechos de los usuarios en relación con sus datos personales.
Nuestro Generador de Políticas de Privacidad es asequible, está disponible en varios idiomas, ha sido redactado por abogados, es personalizable y se actualiza automáticamente (ya que nuestros abogados lo supervisan de forma remota). Te permite crear de forma sencilla una política de privacidad visualmente impecable y precisa e integrarla a la perfección con tu sitio web o tu app. Sencillamente puedes añadir cualquiera de nuestras cláusulas ya creadas con tan solo pulsar un botón o redactar tu propia cláusula personalizada.
La política de privacidad también incluye la opción de añadir una política de cookies (es necesario incluirla si tu sitio web o app utiliza cookies). Las políticas son personalizables según tus necesidades y nuestro equipo jurídico las mantiene al día de forma remota.
💡 Para más información sobre cómo generar tu política de privacidad, haz clic aquí
Como el uso de cookies puede implicar tanto el tratamiento de datos de los usuarios como la instalación de archivos en sus dispositivos para seguimiento, estas herramientas son una gran fuente de preocupación en lo que respecta a los derechos de privacidad de datos de los usuarios. Por ello, si operas dentro de la UE o si es posible que tengas usuarios en la UE, debes cumplir con la Ley de Cookies.
Se divide en 4 partes:
Privacy Controls and Cookie Solution cumple con lo dispuesto en la Directiva ePrivacy (Ley de Cookies). Te permite informar fácilmente a tus usuarios y obtener su consentimiento, dándote al mismo tiempo la opción de bloquear preventivamente cualquier script que instale cookies antes de obtener el consentimiento del usuario (lo que es un requisito en muchos países de la UE). Es fácil de utilizar, rápida y no requiere grandes inversiones.
→ Participa en uno de nuestros webinars gratuitos, resuelve tus dudas en directo y consigue más información sobre nuestro Generador de Políticas de Privacidad y Cookies y Privacy Controls and Cookie Solution.
💡 Para obtener más información sobre nuestro servicio Privacy Controls and Cookie Solution, haz clic aquí.
Aunque no siempre es obligatorio desde un punto de vista legal, en la práctica siempre es necesario tener un documento de términos y condiciones. Regula la relación contractual existente entre tú y tus usuarios y establece de forma legalmente vinculante la manera en que se puede utilizar tu producto, servicio o contenido.
Por ello, es vital que este contrato sea preciso y esté siempre actualizado y al día con todas las normas aplicables. Debería incluir las condiciones generales de uso de tu servicio, prestando especial atención a las cláusulas de limitación de responsabilidad y a las exenciones de responsabilidad.
Nuestro Generador de Términos y Condiciones te permite crear y gestionar fácilmente un documento de términos y condiciones profesional, personalizable gracias a más de 100 cláusulas, disponible en 14 idiomas, diseñado por un equipo jurídico internacional y al día con las principales legislaciones internacionales.
Es potente, preciso y capaz de resolver incluso las situaciones más complejas, así como de adaptarse a las necesidades más diversas.
Incluye:
Nuestra solución está optimizada para todo tipo de supuestos, desde comercio electrónico, blogs y apps a situaciones más complejas como marketplace y SaaS.
Empezar es muy sencillo. Solo tienes que activar los Términos y Condiciones (utiliza 1 Licencia Ultra) en tu dashboard y puedes empezar a generar tu documento.
💡 Para descubrir todas las funciones de nuestro Generador de Términos y Condiciones, haz clic aquí o consulta nuestra guía aquí.
Para cumplir con las leyes de privacidad, especialmente con el RGPD, las empresas deben almacenar una prueba del consentimiento para poder demostrar que este se obtuvo efectivamente.
Este registro debe mostrar:
Nuestra Consent Database simplifica este proceso, ayudándote a almacenar fácilmente la prueba del consentimiento y a gestionar el consentimiento y las preferencias de privacidad de cada uno de tus usuarios. Te permite rastrear todos los aspectos del consentimiento (incluyendo el aviso legal o de privacidad y el formulario de consentimiento presentado al usuario en el momento de la obtención del consentimiento), así como las preferencias expresadas por el usuario.
Para utilizarla, simplemente activa la Consent Database y obtén la clave API. Después, instala la solución a través de la API HTTP o el widget JS. Eso es todo, ahora podrás recuperar los consentimientos en cualquier momento y mantenerlos actualizados.
💡 Para descubrir todas las funciones de nuestra Consent Database, haz clic aquí o consulta nuestra guía aquí.
Cumplir las normas del RGPD en la práctica puede suponer todo un desafío técnico. Esto es especialmente cierto en cuanto a la gestión de la privacidad interna. Para cumplir con la ley, debes ser capaz de realizar un seguimiento y describir:
Nuestra solución te ayuda a registrar y gestionar fácilmente todas las actividades de tratamiento de datos dentro de tu organización, para que puedas cumplir de forma sencilla con los requisitos del RGPD y con tus obligaciones legales.
Te permite crear un registro de tus actividades de tratamiento de datos:
Importante: aunque tus actividades de tratamiento de datos no se incluyan en ninguna de las situaciones mencionadas anteriormente en esta guía, tu deber de informar a los usuarios (artículos 13 y 14) te obliga a mantener un registro básico con los datos que recopilas, sus fines, todas las partes implicadas en el tratamiento de los mismos y el plazo de conservación de los datos, lo que es obligatorio para todos.
Además, aunque el RGPD es una razón muy común para esmerarse en la gestión de la privacidad interna, nuestra herramienta no está diseñada exclusivamente para su aplicación bajo el RGPD. También se puede utilizar para la gestión de la privacidad interna en general, incluso por empresas que no tienen ningún usuario o cliente en la UE.
→ Participa en uno de nuestros webinars gratuitos (en inglés), resuelve tus dudas en directo y consigue más información sobre nuestra Consent Database y nuestro Registro de las actividades de tratamiento.
Nota: ten en cuenta que, de vez en cuando, las leyes se modifican y actualizan. Por ello, es importante que te asegures de que tus políticas cumplen con los requisitos más recientes. Por esta razón, utilizamos una función de integración y NO un simple copiar y pegar. Con este método, puedes estar seguro de que tu política está actualizada ya que nuestro equipo jurídico la mantiene al día de forma remota.
