Entonces, has creado ya el web para tu proyecto, has pasado doce etapas de desarrollo, tres cambios de diseño y un par de Crisis Existenciales del Webmaster™ y tras un último repaso general estás preparado para darle caña al DNS y poner tu site online … espera! La página “Política de privacidad” sigue mostrando un pedante, latino y retorcido Lorem ipsum aún! ¿Qué pongo ahí? ¿Lo copio de otro web y listo?

En este artículo te explico lo que hay que saber sobre la ley de protección de datos aplicable a proyectos en Internet, y cómo cumplirla al más puro estilo conservador para asegurarte tu rincón en el paraíso de los contribuyentes que jamás burlaron la autoridad. (Si es que quieres terminar ahí, rodeado de gente aburrida cuya idea del paraíso terrenal es una tarde entera de reality-shows)

Cuida de los datos de tus usuarios

Tus usuarios se registran en tu web, rellenan formularios, envían mensajes, publican fotografías, chismorrean, discuten, anuncian, idealizan, promocionan e incluso insultan, critican, desprestigian o simplemente opinan. No pasa nada, Internet es así: igual que la vida misma. Y eso está bien.

Todo este torrente de información termina en tus manos en forma de base de datos, y a merced de tus oscuras intenciones. Sin embargo, si eres de los que prefiere cumplir la Ley, debes saber que según la Ley Orgánica de Protección de Datos (LOPD), estás obligado a cuidar de tu base de datos con el mismo cariño que le profesas al más querido de tus apéndices. En España, el organismo que dispone de potestad para extirpar apéndices, en este caso, es la Agencia Española de Protección de Datos, AEPD para los amigos.

Para la AEPD, tu base de datos se llama “Fichero”, y estás obligado a inscribir tu fichero en sus registros para que conste que recabas esta información. No te preocupes: como otras tantas cosas que probablemente no valores lo suficiente en tu vida, inscribir tu fichero en la AEPD es gratis, y como otras tantas cosas que seguramente sí valoras en tu vida, también puedes hacerlo por Internet.

Inscribir tu fichero en la AEPD no implica que debas enviarles los datos, simplemente estás obligado a inscribirlo para que conste en la AEPD quién realiza la recabación de datos, con qué fin y qué tipo de datos recaba.

El registro donde la AEPD guarda las inscripciones de ficheros como el tuyo, para que no te líes, se llama RGPD. Y al sistema que te permite inscribir tu fichero lo han llamado formulario “NOTA”, sin duda en un alarde de rigor y gusto cinematográfico.

La AEPD distingue dos tipos de ficheros: Los ficheros de titularidad pública y los de titularidad privada. Lo más probable es que necesites inscribir tu fichero con titularidad privada, pues la pública está destinada a los organismos públicos y su insulsa burocracia.

Los tres niveles de seguridad de los datos

Bien, cuando inscribes tu fichero debes elegir uno de los tres niveles de seguridad donde inscribirlo, siendo el primer nivel el que se refiere a la recabación de datos de menor importancia, y el tercero el que deberás notificar si guardas datos escabrosamente privados, veamos:

• Primer nivel: También llamado “I’m too young to die”; el nivel mínimo aplicable, y que debes utilizar cuando los datos que recabas incluyen cualquier dato básico sobre el usuario, como su nombre completo, email, teléfono, dirección, etcétera. Una web con un formulario de contacto, o un sistema de registro muy básico, utilizaría este nivel.
• Segundo nivel: También llamado “Hurt me plenty”; aplicable si además de los datos del primer nivel, también recabas información de tus usuarios sobre sus características físicas, su personalidad o su comportamiento. Una red social normal caería aquí. También requerido para servicios financieros, información sobre solvencia patrimonial o de crédito, información para el tratamiento de obligaciones dinerarias o información para mutuas de accidentes y similares.
• Tercer nivel: También llamado “Nightmare!”; que deberás utilizar si los datos que recabas alcanzan a información del usuario sobre su ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual o información relativa a actos de violencia de género. Cuidado, algunas redes sociales requieren este nivel de seguridad!

Cuando rellenes el formulario para la inscripción de tu fichero, bastará con que marques el nivel de seguridad de los datos que contendrá. Pero ojo, estás obligado a cumplir ciertas medidas de seguridad en tu base de datos, que se complican un poco si el tuyo es un segundo nivel, y muchísimo si es el tercero.

Tus obligaciones

Estás obligado a adoptar las medidas técnicas y organizativas que garanticen la seguridad de los datos y que eviten su alteración, pérdida, tratamiento o acceso no autorizado. Aunque la AEPD no especifica qué medidas en concreto, sí estás obligado a asegurar los datos de los riesgos a que están expuestos, ya provengan de la acción humana o de la naturaleza.

Tú y todas las personas que vayan a tener acceso a los datos en el fichero están obligados a guardarlos en secreto, es decir, que no pueden divulgarse ni utilizarse de ningún otro modo que para los fines para los que fue creado el fichero. Además, esta obligación también debe cumplirse incluso cuando los datos se eliminan del fichero (un usuario solicita la baja, por ejemplo), o cuando se da de baja el fichero.

Debes informar a tus usuarios sobre el tratamiento que vas a hacer de sus datos, y sobre cómo pueden solicitar la modificación o la baja. Esto se refiere al típico texto sobre el “acceso, modificación, oposición y cancelación” de datos que deberías tener bien visible en tu web.

Algunas web optan por poner el texto íntegro junto a cada formulario; es la opción más segura. Si te atreves, puedes poner sólo un enlace del tipo “Consulta nuestra política de privacidad” o “Sobre el tratamiento de tus datos”, pero asegúrate de que es bien visible para el usuario, es justamente lo que la LOPD requiere: Si el usuario no encuentra esta información fácilmente, bam!

Un buen texto de ejemplo, escueto y completo para comunicar al usuario y cumplir con esta parte de la LOPD es:

“Los datos que nos proporcionas son incorporados al fichero ”<nombre del fichero>” registrado en el RGPD el día <fecha>, titularidad de <razón social de la empresa o persona física>, cuyo objetivo es el proporcionarte el acceso a las funciones de este web para usuarios registrados, y <detallar aquí otros objetivos de la recabación de datos>. Puedes ejercer tu derecho de acceso, modificación, oposición o cancelación accediendo al menú “tu cuenta” o contactando con nosotros por email a <email> o por teléfono a <teléfono>.”

El documento de seguridad

Estás obligado a crear un documento de seguridad donde se especifiquen todas las medidas que se toman, tanto técnicas como organizativas; los procedimientos en caso de traslado de datos, la seguridad física de los servidores y demás. Según el nivel de seguridad de tu fichero, las medidas de seguridad requeridas pueden ser básicas, comprensibles y asimilables (primer nivel), o inhumanas, excéntricas y retorcidas (tercer nivel).

En cualquier caso, debes saber que la AEPD no inspecciona las medidas de seguridad implementadas cada vez que se inscribe un fichero, pero sí puede hacerlo si lo considera necesario. Debes disponer de un documento de seguridad, y debes cumplir todas las medidas requeridas.

La AEPD ha creado una guía de seguridad que es casi de obligada lectura para cualquier responsable de fichero que se precie. La puedes encontrar en su web, o bájatela de aquí: Guía de seguridad 2010 (versión de diciembre de 2011)

También han creado un documento modelo que puedes utilizar como referencia para crear tu documento de seguridad. Encuentra la última versión en formato Word en su web, o bájate la versión en PDF a diciembre de 2011 aquí: Modelo de documento de seguridad

Cómo inscribir tu fichero

Llegado este punto, ya deberías estar suficientemente acoj..sustado. Y si no lo estás, es que aún no has leído el modelo de documento de seguridad de arriba.

Inscribir tu fichero es fácil y online: Vé a la web de la AEPD y bajo la sección “Responsables de ficheros” encontrarás toda la información detallada que te interesa. Para inscribir tu fichero, sigue estos pasos:

• Averigua el nivel de seguridad de los datos que vas a recabar.
• Crea tu documento de seguridad utilizando el modelo de documento.
• Implementa todas las medidas de seguridad que se detallan en él, si no las tenías aún.
• Añade a tu web el texto para informar a los usuarios.
• Descarga el formulario “NOTA” que encontrarás en la web de la AEPD.
• Rellénalo y envíalo; se envía automáticamente.
• Respira tranquilo, estás siendo legal. Pero no bajes la guardia, ahora tienes obligaciones que cumplir!

¿Y si mi web está hospedada fuera de España?

Es lo más probable. Y la AEPD, en su enorme sabiduría, lo ha considerado: Se considera una “transferencia internacional de datos” si tu servidor no está en la Comunidad Económica Europea, ni en uno de los países considerados por la AEPD como seguros, que a diciembre de 2011 son: Islandia, Liechtenstein, Noruega, Suiza, Argentina, Canadá, Guernsey, Isla de Man y algunos otros países diminutos y remotos.

Si tu servidor está en EEUU, el proveedor de hospedaje debe estar adherido a los “Principios de puerto seguro, Safe Harbor“, que es algo así como una garantía de fidelidad al Rey de España. Infórmate en la web del proveedor sobre ello, o pregúntales; si están adheridos, la inscripción de tu fichero en la AEPD será válida.

Según una resolución reciente, publicar datos en Internet poniéndolos al alcance de todo el mundo no se considera una transferencia internacional de datos. Sin embargo, el hecho de que los datos estén físicamente en un servidor fuera de España, de la CE, de los países seguros (mira arriba), o de los proveedores de hospedaje en EEUU que no estén adheridos al Safe Harbor, sí.

Consideraciones finales sobre la protección de datos

Hay algunas cosas más de cierta importancia que debes saber:

• No importa el alcance tu página web: Tanto si se trata de tu web personal, como de un proyecto multimillonario, siempre que recabes información de tus usuarios, debes registrar tu fichero de datos por igual.
• Tampoco importa que seas un proletario, un estudiante, un emprendedor menor de edad, un jeque árabe o un business angel montado en el dólar: Todo el mundo debe inscribir sus ficheros en la AEPD.
• En la inscripción deben constar todas las personas que van a tener acceso a los datos en el fichero.
• Tener un ordenador desatendido en tu oficina mostrando datos personales de tus usuarios en la pantalla incumple la LOPD! Activa un salvapantallas con contraseña. Ocurre lo mismo con los datos archivados en papel: Deben guardarse bajo llave, y no pueden dejarse a la vista.
• Todas las personas con acceso al fichero deben tener una copia del documento de seguridad, leérselo y seguir todas sus directrices.
• Si vas a enviar SPAM, o si vas a ceder los datos de tus usuarios a otros, que no se te pase por la cabeza “olvidarte de ponerlo”! Especifícalo detalladamente, tanto en tu inscripción del fichero como en el texto para los usuarios, o estás perdido!
• Este artículo se refiere a las leyes que se aplican en España, un país que hay entre México y París, en el que nació Gaudí, vivió Dalí y murió Franco. Otros países tienen otras leyes equivalentes, pero pocos personajes equiparables.
• Es muy recomendable que te pases por la web de la AEPD y te informes a fondo, tienen toda clase de información y respuestas a preguntas comunes. Éste artículo es un resumen; si tienes dudas acude a la web o consúltales a ellos!

Ten en cuenta que es un delito penal no cumplir con todo esto, y las multas pueden ascender hasta cientos de miles de euros, que es una cantidad mayor de lo que cuesta el DVD de “El Gran Lebowski“, un año de cenas japonesas y dos docenas de japonesas … todo junto. Así que merece la pena dedicarle un buen tiempo. La buena noticia es que se trata en realidad de un método para garantizar la seguridad de nuestros datos, y pensándolo bien tú también quieres que tus datos sean tratados con cariño. Así que … espabílate y haz el favor de tratar esos datos como quisieras que trataran los tuyos!