 |
En la actualidad la ley que regula los datos de carácter personal es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que deroga la Ley Orgánica 5/92, reguladora del tratamiento automatizado de los datos de carácter personal (LORTAD).
Datos de carácter personal
Es toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificable o identificada.
Por identificación del afectado se entiende cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona física.
Obligaciones existentes con el consumidor
La LOPD dispone que con carácter general, cuando se solicita a cualquier interesado los datos personales resulta obligado informarles previamente, de forma expresa, precisa e inequívoca:
De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los datos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de la respuesta a las preguntas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o de su representante.
No obstante, el apartado 3 del mismo artículo 5 establece que no resultara necesaria la información recogida en los apartados 2, 3, 4 si el contenido de esta se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias que se recaben.
Supuestos especiales
Member Get Member o Club de Amigos
Se trata de un recurso muy utilizado en las campañas de marketing con el objetivo de aumentar el público objetivo o clientes, ya sea en un club, entidad u organización.
La problemática planteada en materia de protección de datos personales es el siguiente: al ofrecer los datos de un amigo o conocido sin su consentimiento se está produciendo una cesión de datos no consentida.
Dadas las graves consecuencias que esto implica, la técnica más segura es lograr que los datos los facilite el interesado final, de manera que se haga una mención sobre la persona que ha ejercido de «mediador» a fin de que éste obtenga el regalo o premio que es habitual en estos casos.
Menores de edad
La recogida de datos personales referentes a menores de edad presenta grandes inconvenientes, ya que el criterio de la APD es muy restrictivo y presume que los menores de edad no tienen capacidad para prestar el consentimiento.
Sin perjuicio de considerar este criterio como excesivamente restrictivo, la medida más segura es solicitar, en todo caso, el consentimiento de sus representantes legales.
Supuestos web
Cómo hay que informar al comprador Internauta
Desde todas y cada una de las páginas web a través de las que se recaban datos de carácter personal el comprador debe poder conocer con facilidad y de forma directa la información anteriormente enunciada.
Para ello puede optarse por incorporar en todas las páginas un texto o un botón adecuadamente etiquetado, para hacer que la lectura de dicha información se presente de forma ineludible al comprador a lo largo del proceso de compra o por la inclusión en las condiciones generales de contratación de cláusulas adicionales relativas a la protección de datos.
Datos relativos a los medios de pago
Sólo se podrán almacenar si es preciso para los fines legítimos que se persigan.
¿Cómo se obtiene el consentimiento expreso?
Para el tratamiento de determinados datos, como los relativos a la salud, la vida sexual o el origen racial es necesario el consentimiento expreso. En estos casos se considera válido un procedimiento de recogida en el que el comprador tenga una participación activa de tal forma que a través de la web pueda manifestar expresamente su voluntad de que tales datos sean recabados y tratados.
¿Cómo pueden ejercitar los compradores sus derechos?
Para el ejercicio de los derechos del comprador hay que facilitar una dirección de correo electrónico, la dirección postal y el número de teléfono; es muy recomendable habilitar una zona especial en la web que permita al comprador consultar fácilmente los datos que constan en su fichero.
¿Se pueden utilizar mecanismos de recogida automática de datos?
En el caso de que se utilicen mecanismos automáticos de recogida de datos hay que decir de forma expresa cuáles son, cómo y para qué se utilizan esos datos e informar sobre el nombre de dominio del servidor que transmite o activa los procedimientos automáticos de recogida.
El comprador debe conocer, cuando se recaban los datos que pueden ser cedidos a otras empresas del grupo, los usos concretos que se realizarán con sus datos y las actividades a las que pueden destinarse.
¿Qué medidas de seguridad es necesario adoptar?
Las empresas deben adoptar como regla general las medidas de seguridad calificadas como de nivel básico, salvo cuando posean ficheros que contengan datos relativos al historial de compra de determinados productos, de cuyo conocimiento podrían desprenderse valoraciones acerca de la salud o vida sexual de los compradores; es el caso también de ficheros que contengan un conjunto de datos suficientes que permiten obtener una evaluación de la personalidad del comprador.
Es necesario que las empresas tengan actualizado un registro para el soporte del procedimiento de notificación y gestión de incidencias.
Asimismo, se entiende que es una buena práctica el establecer un canal seguro (protocolo https) de comunicación entre el servidor y el usuario para el envío y recogida de los datos personales del usuario.
