¿Cómo recoger datos de mis potenciales y clientes para
enviarles publicidad cumpliendo la LOPD?
¿Cómo hacer acciones de marketing; sorteos promociones,
difusión de fotos de eventos…?
¿Cómo hacer que mi web cumpla con la LSSICE?
Normativa en materia de Protección de Datos.
Directiva 95/46/CE.
LORTAD 5/ 1992 y RD 994/1999
Ley 15/1999 sobre Protección de Datos de CarácterPersonal (LOPD). Obligatorio 1999.
Ley 34/2002 de 11 de julio de Servicios de la Sociedad de laInformación y Comercio Electrónico (LSSICE).
Ley 32/2003 de 30 de Noviembre Gnal de Telecomunicaciones.
RD 1720/2007 de Desarrollo de la LOPD .
¿Qué es la LOPD?
La protección de datos es un derecho fundamental de laspersonas como máxima expresión de su derecho a laintimidad.
Ley Orgánica de obligado cumplimiento desde 1999.
Son responsables las empresas y profesionales que tratendatos de carácter personal.
Reconoce a cada persona la propiedad de sus datos.
¿Qué es la AGPD?
AGPD: Agencia Española de Protección de Datos
Ente de derecho público.
Potestad sancionadora.
Independiente en sus actuaciones.
www.agpd.es
Sede en Madrid.
¿Qué es un dato?
Datos de carácter personal: Cualquier informaciónconcerniente a personas físicas identificadas o identificables.
Clientes
¿Qué datos tengo en mi comercio?
Gestiones Comerciales / Contactos
Tarjeta de cliente /sorteo …
Video vigilancia
Formulario Web
¿Qué es un fichero?
Fichero: Todo conjunto organizado de datos decarácter personal, cualquiera que fuese la forma omodalidad de su creación, almacenamiento,organización y acceso.
Tipo de fichero:
Soporte papel (Cuaderno, listado, cupones…)
Fichero informático (CRM, Outlook, Excel, Access, etc.)
NIVELES DE SEGURIDAD
Nivel medioDatos personalidad, infracciones penales y admtvas.
Nivel altoSalud, origen racial, etc.
Nivel básicoDatos de contacto, Nombre, apellidos, DNI, teléfono
DEPENDE
Vendo zapatillas …
Básico.- nombre, apellidos, teléfono
Vendo zapatillas ortopédicas a medida
Alto.- Datos de salud
¿Qué tipo de datos son los de mis potenciales y clientes?
Nivel Básico
Cualquier Dato Personal
Nombre, Apellidos
Tipo de datos:
Dirección Postal ó Electrónica
D.N.I. o N.I.F.
Teléfono Fijo ó Móvil,
Foto
Nivel Básico
Documento de Seguridad
Funciones y obligaciones del personal
Medidas de seguridad :
Informar con cláusulas a los interesados
Inscripción del ficheros
Nivel Básico
Procedimientos de gestión de soportes y documentos.
Realización, al menos semanal, de Copias de respaldo.
Identificación y autenticación de accesos.
Almacenar contraseñas de forma ininteligible.
Medidas de seguridad :
Registro de incidencias
Infracciones Penales y Administrativas
Información de Hacienda Pública
Información sobre Personalidad
Información sobre Solvencia Patrimonial y Crédito
Tipo de datos:
Nivel Medio
Medidas adicionales de identificación y autenticación de usuarios.Contraseñas y usuarios personales.Bloqueo de usuarios por intentos de acceso reiterados de forma errónea.
Gestión de soportes; Registro de E/S de llaves USB, CD, DVD etc.
Responsable de Seguridad
Medidas de seguridad:
Nivel Medio
Nivel Alto
Consentimiento por escrito del interesado
Cifrado de telecomunicaciones: Envío de documentos e-mail.
Distribución de soportes cifrados: Llaves USB, cd/dvd, PC Portátiles, etc.
Todas las medidas anteriores + …..
Medidas de seguridad:
Provengan de fuentes accesibles al público:
Según la AGPD son fuentes accesibles al publico:
- El censo promocional- Las guías de servicios de comunicaciones electrónicas- Listado de colegios profesionales- Diarios y boletines oficiales- Medios de comunicación social- Internet NO es una fuente accesible al público.
Origen de los datos
Sean clientes nuestros y les mandemos informacióncomercial sobre productos y/o servicios similares
Hayan prestado su consentimiento para el envío denuestra publicidad o prospección comercial.
Para finalidad determinada y explicita
Determinar los sectores de actividad de los quepuedan recibir publicidad.
Guardar la prueba: la firma del cupón, o formulario.
Origen de los datos
Los datos que utilicemos para el envío comercial deberán ser:
a) Adecuadosb) Pertinentesc) No excesivosd) Actualizados (No guías, páginas amarillas, de ediciones
anteriores)e) No excluidos (Comprobar LISTA ROBINSON).
https://www.listarobinson.es/default.asp Multa 60.000 €f) Comprobar si ya ha habido previamente un envío, comprobar
la lista de revocados .
Características de los datos
Notificar a la AGPD el fichero creado
Inscripción fichero
- Finalidad
- Colectivo
- Datos
- Cesiones
Cuidado si subcontratamos..
… el encarte, la acción comercial..
Si un tercero tiene acceso a mi bbdd hay que firmar un contrato de encargado de tratamiento:
•Que debe hacer con la BBDD•Que va a pasar cuando el encargo termine: destrucción, devolución,•Obligación del tercero de cumplir con la LOPD
Obligaciones LOPD
En todas nuestras comunicaciones comerciales:
1. Cláusula de Información .
- De la existencia de un fichero o tratamiento de datos de carácterpersonal, de la finalidad de la recogida de los datos y de losdestinatarios de la información.- Del carácter obligatorio o facultativo de su respuesta a laspreguntas que les sean planteadas.- De las consecuencias de la obtención de los datos o de la negativaa suministrarlos.- De la posibilidad de ejercitar los derechos de acceso, rectificación,cancelación y oposición.- De la identidad y dirección del responsable del tratamiento, o en sucaso, de su representante.
Obligaciones
2. Uso del CCO (Con Copia Oculta) (multa 600€)
3. Carga de la prueba: conservación del soporte.
4. Identificación de la Persona Física ó Jurídica en nombrede la cual se haga la comunicación comercial.
5. Acceso claro a condiciones de premios, promociones,concursos, etc.
6. Se debe ofrecer un mecanismo de revocación “sencillo ygratuito”, en cada una de las comunicacionescomerciales que enviemos.
Obligaciones
• Solicitaremos el consentimiento de los destinatariospara el envío de nuestra información comercial, endeterminadas ocasiones :
a) Origen de los datos:
- Si no son clientes
b) Forma de envío utilizado:
- Email- Cualquier medio electrónico
Consentimiento
•Medio gratuito: Habilitaremos un medio sencillo y gratuitopara el ejercicio de los derechos de acceso, rectificación,cancelación y oposición.
•No podremos exigir al interesado, el envío de cartascertificadas o llamadas, a números de tarificación adicional.
•Respuesta: Una vez recibida la solicitud deberemosatenderlo.
•Revocación: Registrar las peticiones de “revocación” enuna “lista negra” y establecer el procedimiento.
Atender los Derechos
Contestación obligada.
Plazo de 30 días para resolver la petición.
Si tenemos datos:
Derecho de Acceso
Datos de carácter personal
Origen de los mismos
Cesiones o comunicaciones previstas
Derecho de rectificación
Interesado solicita rectificación y/o cancelación.
Contestación obligada.
Plazo de 10 días para rectificar y/o cancelar.
Para los datos cedidos, comunicación al 3º de rectificación y/o cancelación.
Cuando los datos de carácter personal ya no seannecesarios o pertinentes para la finalidad recabada:
Deberemos cancelarlos, no obstante, se podránconservar durante el tiempo en que puedan exigirnosalgún tipo de responsabilidad.
Caso No cancelación
Derecho de cancelación
Política de Privacidad.- Aviso Legal
– Su denominación social, NIF, domicilio y dirección decorreo electrónico, teléfono o fax
– Los datos de la inscripción registral– Códigos de conducta a que estén adheridas– Los datos relativos a la autorización administrativa
necesaria para el ejercicio de la actividad o datos decolegiación y titulo académico de profesionales queejerzan una actividad regulada
Obligaciones Informar
• Política de Privacidad.-– Información LOPD:
• Existencia de fichero y finalidad de recogida de datos.– Tratamiento de Datos:
• Envíos comerciales• Bolsa de Empleo
– Cesiones de datos• Entidades bancarias• Empresas de transportes
– Propiedad Intelectual
– Nomas de foros
Obligaciones Informar
• Diseño formulario de recogida de datos:
□ He leído y acepto la Política de Privacidad (enlace obligatorio)
Recabar el Consentimiento
Condiciones Generales de Venta
• Gastos de envío (Península, Canarias, Baleares,….)
• Impuestos
• Pago: modalidades pago
• Plazos de entrega
• Política de devolución
• Dº de Desistimiento: 14 días naturales
Comercio Electrónico
• Si realizan contratación electrónica de forma previa debeninformar– Trámites que deben seguirse para contratar on-line– Si el documento electrónico del contrato se va a archivar o no y
si éste será accesible– Medios técnicos para identificar y corregir errores en la
introducción de datos– Lengua o lenguas en que podrá formalizarse el contrato– Condiciones generales a que se sujete el contrato
• Y confirmar la celebración del contrato por vía electrónica,mediante el envío de un acuse de recibo del pedido realizado
Comercio Electrónico
LSSICE infracciones:
22. 2. Los prestadores de servicios podrán utilizar dispositivos de almacenamientoy recuperación de datos en equipos terminales de los destinatarios, a condición deque los mismos hayan dado su consentimiento después de que se les hayafacilitado información clara y completa sobre su utilización, en particular, sobre losfines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario paraaceptar el tratamiento de los datos podrá facilitarse mediante el uso de losparámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica alsolo fin de efectuar la transmisión de una comunicación por una red decomunicaciones electrónicas o, en la medida que resulte estrictamente necesario,para la prestación de un servicio de la sociedad de la información expresamentesolicitado por el destinatario.
Cookies
Sanciones
Infracción leve:38. 4 g) Utilizar dispositivos de almacenamiento y recuperación dedatos cuando no se hubiera facilitado la información u obtenido elconsentimiento del destinatario del servicio en los términosexigidos por el artículo 22.2. (multa de hasta 30.000€).
Infracción grave:38. 3 i) La reincidencia en la comisión de la infracción leve prevista en el apartado 4 g) cuando así se hubiera declarado por resolución firme dictada en los tres años inmediatamente anteriores a la apertura del procedimiento sancionador. (multa de 30.001 a 150.000€).
Cookies
• Recomendaciones sobre menores:
– Fotografías
• Con consentimiento de los padres, tutores.
• Recoger consentimiento del colegio.
– Menores: formulario
Menores
-Información sencilla, lenguaje comprensible para elmenor
- Obligación de la empresa de implantar procedimientosque garanticen:
– La comprobación de la edad – La comprobación del consentimiento prestado
No Recabar información de los padres: profesión del padre/madre, ingresos…
Menores
Tipo de infracción y sanción correspondiente
Infracción Sanción
Muy Grave Multa de 150.001 a 600.000 euros
Grave Multa de 30.001 a 150.000 euros
Leve Multa hasta 30.000 euros
Sanciones
• Sanciones envío e-mails o sms
– Grave El envío masivo de comunicaciones comerciales porcorreo electrónico u otro medio de comunicación electrónicaequivalente o el envío, en el plazo de un año, de más de trescomunicaciones comerciales por los medios aludidos a unmismo destinatario, cuando en dichos envíos no se cumplan losrequisitos establecidos multa de hasta 150.000 euros .
– Leve El envío de comunicaciones comerciales por correoelectrónico u otro medio de comunicación electrónicaequivalente cuando en dichos envíos no se cumplan losrequisitos establecidos y no constituya infracción grave multade hasta 30.000 euros
Sanciones envío comerciales
Sanción: hasta 300.000€
3.- CESION IRREGULAR DE DATOS:
Ejemplo: SANYRES. LOGROÑO
Sanción: hasta 40.000 €
1.- NO INSCRIPCION DE LOS FICHEROS EN LA AGPD:
Sanción de 900 € a 40.000€
2.- NO INFORMACIÓN A LOS CLIENTES/POTENCIALES:
Tratamiento de la información.
Ficha de recogida de datos, consentimiento informado
Sanciones más frecuentes comercios
4.- NO SE FIRMA UN ACUERDO DE CONFIDENCIALIDAD:
TrabajadoresAsesores, InformáticosEvitar Fugas de información
5.- USO NO CONSENTIDO DE LAINFORMACION:
Subir fotos a nuestra web, redes sociales, etc.Mala imagen de nuestro negocio
Sanción de 60.000€
Sanción de hasta 40.000€
Sanciones más frecuentes comercios
Las infracciones más frecuentes
6.- NO ATENDER LOS DERECHOS DE LOS INTERESADOS
Sanción de hasta 90.000€
7.- NO UTILIZAR EL CCO Y DIFUNDIR LOS EMAILS DE NUESTRA BBDD:
Derecho de cancelación, oposición, acceso y rectificación.
Sanción de hasta 300.000€
GUIAS
• INCIBE: INSTITUTO NACIONAL DE CIBERSEGURIDAD
https://www.incibe.es/
• OSI: OFICINA DE SEGURIDAD DEL INTERNAUTA
https://www.osi.es/es/
• FACEBOOKhttps://www.osi.es/es/actualidad/blog/2014/04/14/seguridad-y-privacidad-en-redes-sociales-i-facebook-
todo-lo-que-debes-sab
• TWITTERhttps://www.osi.es/es/actualidad/blog/2014/04/21/seguridad-y-privacidad-en-redes-
sociales-ii-twitter-todo-lo-que-debes-sab