Tutorial Cookies, Privacidad y Aviso Legal - David Cuesta SEO

Cómo hacer el aviso de cookies, política de privacidad y aviso legal para una web

En este capítulo del curso de creación de páginas web daremos respuesta teórica y práctica a una de las grandes dudas que todos tenemos en este mundillo, ¿cómo hago los textos legales?

Video tutorial de cómo hacer los textos legales de una web

Y este es uno de los casos en los que el vídeo sirve como buena introducción pero que para tratar el asunto bien, debemos pasar a la versión escrita. Vamos poco a poco.

Para este tutorial he podido contar con la inestimable ayuda de Marina Brocca, especialista en legalidad online. Si necesitas de un profesional de este ámbito no dudes contactar con ella en marinabrocca.com (enlace de afiliado :D).

Leyes que debemos cumplir

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas (RGPD)

la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): https://boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI).

Política y aviso de cookies

La normativa sobre las cookies se basa en el mismo reglamento de privacidad aprobado el día 25 de mayo de 2018 en el parlamento europeo, pero se supone que debe ser ampliado este mismo año con nuevas leyes bajo el marco e-privacy.

A medida que este asunto se aclare iré actualizando este post.

¿Qué son las cookies?

Las cookies son unos archivos pequeños que tu navegador descarga y almacena, y que servicios de diferentes webs pueden consultar cuando visites sus webs, si se lo permites, claro.

Ejemplos:

  • Cuando dejas la sesión de una web iniciada en tu navegador.
  • Cuando una web detecta que estás conectado a Facebook.
  • Cuando una web muestra anuncios basados en tus intereses.

Aviso de cookies

Ese banner que todas las webs (o prácticamente todas) nos muestran al entrar y que tan cansinos son haciendo que cliquemos en aceptar.

Este aviso es obligatorio mostrárselo a los ciudadanos europeos (de momento), y debe cumplir una seria de requisitos:

  1. El texto, que debe contener:
    • De quién son las cookies que recoges (propias, de terceros o ambas)
    • Cuál es la finalidad de las cookies (mejorar la experiencia del usuario)
  2. Botones de ACEPTAR y RECHAZAR.
    • El botón rechazar puede sustituirse por “modificar configuración” que llevará a la página de políticas cookies, donde indica cómo hacerlo, pero en ningún caso le puedes instalar cookies sin que clique en aceptar.
  3. Un enlace hacia la página en la cual estén desglosadas todas las políticas de cookies.

Ojo porque además no podemos activar ciertas cookies sin previa aceptación de los usuarios. ¿Qué cookies son estas? Bueno mejor decir cuáles no son.

Cookies que no necesitan de consentimiento para poder activarse:

  • Cookies de seguridad y autentificación o identificación y entrada del usuario
  • Cookies de sesión del reproductor multimedia
  • Cookies de sesión para equilibrar la carga
  • Cookies de personalización de la interfaz de usuario
  • Cookies de complemento para intercambiar contenidos sociales

Para el resto de cookies, debes disponer el script de las mismas de tal forma que hasta que el usuario no haga clic en aceptar, las cookies no se le activen.

Para eso puedes usar un plugin de cookies como el WP GDPR Compliance (https://es.wordpress.org/plugins/wp-gdpr-compliance/)

Que te permite poner en un recuadro los scripts de Google Ads y Analytics (los típicos que nos afectan a todos) y no se cargará hasta que el usuario acepte.

Ejemplo de aviso de cookies para curarse completamente en salud:

El sitio web www.miweb.es utiliza cookies propias y de terceros para recopilar información que ayuda a optimizar su visita a sus páginas web. No se utilizarán las cookies para recoger información de carácter personal. Usted puede permitir su uso o rechazarlo, también puede cambiar su configuración siempre que lo desee. Encontrará más información en nuestra Política de Cookies. ACEPTAR RECHAZAR.

Página de política de cookies

La página de política de cookies es esa url (o también puede ser parte del aviso legal, pero mejor que esté separada), que contendrá la información extendida referente a las cookies.

A continuación listaré las partes que necesitamos mencionar, en este caso el ejemplo te lo dejo en mi propia página de cookies.

  • Título, que debe ser (no te lo imaginas) “Política de cookies”. Seguido de una entradilla indicando que el propietario de la web informa sobre las cookies de esa web example.com.
  • ¿Qué son las cookies? Aquí se explica de forma entendible qué son.
  • Tipos de cookies: Otro texto enorme predefinido, que redacta los tipos de cookies existentes.
  • Desactivación y eliminación de cookies: Una vez más, un rápido copia-pega y lo tienes listo, para explicar al usuario como trabajar con sus cookies.
  • Cookies utilizadas en tuweb.com: Aquí te toca trabajar, tienes que listar cada una de las cookies que tu web instala en el equipo del usuario, definiendo el tipo de cookie, quién es el dueño del servicio, cuál es la finalidad y en caso de que sea de terceros, un enlace hacia las políticas de ese servicio.
  • Aceptación de la política de cookies: Un texto que puede variar un poco, pero que es prácticamente copia-pega, indica al usuario que ha aceptado las cookies y cómo se le ha presentado y presenta esa información.

Lo que debemos cumplir de cara a la política de privacidad

La ley española conocida por sus siglas LOPDGDD, es la encargada de regir todo lo referente al tratamiento de la privacidad de los usuarios.

Si entrásemos en detalle, el documento podría ocupar gigas, así que vamos a ir directos a la aplicación práctica de cara a tener tu web conforme a esta ley y que puedas cumplir sin problemas. En caso de dudas por casuísticas especiales, sólo te queda consultar con un especialista o leerte tú mismo la ley en el BOE desde el enlace que puse más arriba.

Para cumplir con esta ley de privacidad, siempre que obtengamos información de los usuarios, de cualquier forma posible, debemos avisar en 2 capas.

Pero, ¿qué significa avisar en dos capas? Bueno, el nombre lleva a confusión, pero podría decirse que hay que avisar siempre de dos formas:

Primera capa: aviso y confirmación in situ

SIEMPRE, pero siempre siempre siempre, que se recoja información del usuario, debes pedir su confirmación y darle una información. A esto se le llama capa 1 o primera capa.

Esta primera capa consta de:

  1. Registro de validación del usuario: algo que obligue al usuario a confirmar que acepta. Una checkbox desmarcada acompañada de un “Acepto las políticas de privacidad”.
  2. Un texto legal que debe a su vez indicar:
    • Quién es el responsable de la web
    • Cuál es la finalidad de los datos recogidos: ojo, la información sólo se podrá utilizar para la finalidad aceptada. Ninguna otra finalidad.
    • Coletilla recordando que el usuario legitima el uso de la información recogida.
    • Extras: Se debe indicar además el destinatario si alguna otra empresa va a recoger estos datos (mailchimp por ejemplo).
  3. Enlace hacia la capa 2, es decir, ya podéis daros cuenta de lo que es la segunda capa. Un enlace hacia la url de “Políticas de privacidad”

Ejemplo de la primera capa:

Acepto la política de privacidad. La información proporcionada será tratada por David Cuesta como responsable de esta web. La finalidad de los datos recogidos es información general y comercial a través de correo electrónico. Este uso queda legitimado a través del presente formulario. Se informa además que esta información será gestionada a través de la empresa Mailchimp.

Consentimientos especiales

En ciertas ocasiones necesitamos ofrecer al usuario un consentimiento adicional en formularios para las siguientes circunstancias:

  • Cuando se realiza transferencia internacional de datos (TDI) a un país considerado no seguro y no exista amparo legal para ello (ej: Adhesión de la empresa destinataria al Escudo de Privacidad, existencia de cláusulas tipo, etc.).
  • Cuando existan decisiones automatizadas, incluida la elaboración de perfiles.
  • Cuando se prevea ceder datos a un tercero que requiera el consentimiento del afectado.
  • Cuando se traten datos especialmente protegidos sin que la empresa esté legitimada para ello por cualquier base legal que no sea el consentimiento.

Segunda capa: página de política de privacidad

La segunda capa es en sí misma la URL llamada Política de privacidad, que debe contener ese h1 y ser una URL dedicada únicamente a tratar esta información, no se puede compartir con cookies.

Para cumplir correctamente con la LOPDGDD, debemos mostrar toda la siguiente información (puedes ver un ejemplo en mi propia página de política ed privacidad):

  • Texto inicial de presentación, en el cual se suele mencionar el requisito legal de ser mayor de 14 años para poder dar información privada, o de otra forma hacerlo bajo el consentimiento y conocimiento de sus tutores legales. Además podemos aprovechar para citar el marco legal bajo el que se adecua el documento.
  • Información sobre el responsable del tratamiento de datos personales. En este apartado debemos indicar:
    • Identidad del Responsable: Razón social o nombre y apellidos.
    • Nombre comercial: Marca utilizada o por la que es conocida la empresa o web.
    • NIF/CIF: Tu número de identificación fiscal o DNI si eres un particular.
    • Dirección: COMPLETA, es decir, calle, número, código postal, población y provincia.
    • Correo electrónico
    • Actividad
    • Inscripción en el Registro Mercantil
  • ¿Cómo hemos obtenido tus datos?:  Aquí listaremos uno a uno todos los formularios presentes en la web, incluidos los comentarios, inscripciones, etc
  • ¿Cuáles son tus derechos cuando nos facilitas tus datos?: Esta parte es un copia-pega de los derechos del cliente sobre sus datos en tu poder, pero ojo, debemos cumplir con lo que se escribe.
  • ¿Con qué finalidad tratamos tus datos personales?: Aquí vamos a listar de nuevo todos los formularios, junto con la finalidad de la información recogida en cada uno de ellos.
  • Legitimación para el tratamiento de tus datos: En esta sección copia-pega recordamos al usuario que nos legitima para el uso de sus datos.
  • Categoría de datos: Otro copia-pega, en caso de que los datos recogidos no sean de especial tratamiento (son de especial tratamiento por ejemplo la orientación religiosa, política…).
  • ¿Por cuánto tiempo conservaremos tus datos?: un copia-pega con algo de sentido.
  • ¿A qué destinatarios se comunicarán tus datos?: Aquí listaremos los servicios de terceros u otras empresas que toquen, aunque sea de refilón, nuestros datos de usuarios.
  • Navegación: este párrafo hace mención a lo ya visto en cookies, esos datos no identificativos que se recogen al hacer uso de la web.
  • Secreto y seguridad de los datos: copia-pega haciéndose responsable de mantener el secreto y seguridad de los datos.
  • Exactitud y veracidad de los datos: copia-pega haciendo responsable al usuario de la veracidad de los datos proporcionados.
  • Aceptación y consentimiento: copia-pega de reconocimiento por parte del usuario.
  • Revocabilidad: copia-pega sobre los derechos a revocar consentimientos.
  • Cambios en la política de privacidad: copia-pega acerca de los futuros posibles cambios de las propias políticas.
  • Correos comerciales: Si tienes boletín, bajo qué parámetros de suscripción.

Además debemos tener en cuenta lo siguiente:

Documentos y protocolos de actuación:

  • Debemos tener un “RAT” (registro de actividades y tratamientos): documento interno que explique cómo se tratan los datos. Antes era el conocido fichero, que ya no es válido, ahora hay que tener un registro que debe estar listo para presentar a las autoridades en caso de que lo exijan.
  • Protocolos para ejercicio de derechos y modelos de documentos listos.
  • Protocolo de declaración de brechas: informar usuario y agencia.
  • Información interna trabajadores y colaboradores con obligaciones y responsabilidad.

Si en tu web hay suscripciones a boletines:

  • Doble opt-in obligado. Es decir, cuando se registran les debe llegar un mail donde confirmen su suscripción.
  • El doble consentimiento debe llevar toda la información acerca de la política de privacidad (una primera capa).
  • Cada mail del boletín debe permitir cancelar o modificar la suscripción.
  • Registro de usuarios al boletín: por tu seguridad, almacena la aceptación con la fecha de suscripción, mail e IP para asegurarte ante posibles problemas futuros.

Aviso legal

Este texto debe estar presente en todas las webs que generen ingresos, ya sea miles de euros como céntimos, mientras se generen ingresos, debes tener esta información en tu web.

Qué se debe informar en el aviso legal:

NOTA: Si no se vende nada, basta con el punto 1 y 2, si se vende algo, cualquier cosa (y por vender se entiende que hay un intercambio de bienes), ya se debe cumplir con todos los puntos.

  1. Identidad del vendedor
    • Si es una empresa: nombre comercial y denominación social. Si se trata de una persona: nombre y apellidos.
    • Dirección completa, número de teléfono, correo electrónico y fax.
    • Número de identificación fiscal NIF o CIF.
    • Datos de inscripción en el registro mercantil.
    • Si para ejercer la actividad se necesita licencia: datos de esa licencia.
  2. Forma de ingresos: aviso de publicidad o de afiliación.
  3. Características de los bienes o servicios:
    • Si solo es un artículo (o pocos) descripción completa.
    • Si son muchos (ecommerce) ficha por producto y cláusula general.
  4. El precio: precio total, tasas e impuestos absolutos. Si el precio varía, informar en base a qué. Si es suscripción explicar bien en qué consiste y todos los costes.
  5. Devoluciones y desestimiento: el vendedor debe informar:
    • Si existe o no el derecho a devolución según las excepciones legales.
    • El plazo, requisitos y las consecuencias y la forma de ejercerlo.
    • Quién asume el coste te devolución.
    • Coste de la devolución.
    • Circunstancias de pérdida del desistimiento.
  6. Coste de la comunicación si la hay: llamada de teléfono, por ejemplo
  7. Procedimientos de pago, entrega, ejecución y fecha de entrega del producto o servicio
  8. Lengua o lenguas en las que se formaliza el contrato
  9. Existencia se asistencia técnica y servicios de posventa o garantía.
  10. Duración del contrato
  11. Funcionalidad de los contenidos digitales: limitaciones técnicas, funcionamiento, seguridad que ofrece, formatos de los productos…

Especial a tener en cuenta para comercios electrónicos y tiendas online

Se debe informar al usuario:

  • Acerca del contrato:
    • Trámites y pasos a seguir.
    • Informar de que almacenarás el contrato.
    • Informar de cómo modificar sus datos.
    • Informar del idioma del contrato.
  • Desistimiento: informar de que hay 14 días para ejercer el derecho a cancelar la compra.
    • Gastos de devolución: Si no pone nada, los gastos los debe pagar la empresa.
    • Si no pone límite de 14 días, el plazo pasa a ser de 12 meses.
    • Se debe facilitar la forma de pedir la devolución.
    • Se debe mencionar las excepciones de devolución para algunos productos.
    • No se puede imponer una penalización o renuncia a este derecho.
    • Existe la obligación de devolver los gastos de envío, pero no los de retorno.
    • La garantía para productos nuevos no precintados o personalizados es de 2 años.

Confirmación de compra

  • Se debe enviar una confirmación con las características del producto, las condiciones y debe ser en papel o email.

Botón de pago:

  • Claridad del botón para que conste la confirmación de compra como obligación de pago
  • “pedido con obligación de pago”, “pagar ahora”, “comprar ahora”, “confirmar compra”. Bien
  • “confirmar”, “registrar”, “pedir ahora”. Mal, si no pone que se confirma, el consumidor no está obligado a pagar.
  • Generar una confirmación de compra.

IVA

  • Obligatorio mostrar a consumidores pero no necesario a empresas.
  • Se aplica el IVA del país del CONSUMIDOR, siempre.
  • Obligación de Factura Electrónica.
  • Obligación a identificar el país del usuario final (y guardarlo durante 10 años junto al porcentaje cobrado).
  • Obligación de comunicar los ingresos por IVA.
  • Almacenar 10 años la información de transacciones de IVA.

Garantizar el cumplimiento de los diferentes regímenes de IVA de la UE

Información que debe ver en su proceso de compra:

  • Identidad del vendedor.
  • Características del producto o servicio.
  • Precio total.
  • Duración del contrato.
  • Derecho a cancelación.

Sanciones por incumplimiento de la ley de privacidad

Ojo porque las sanciones que aplicarían en el caso de no cumplir con la ley de privacidad y cookies, no son moco de pavo

  •  Infracciones leves: este tipo de infracciones serán sancionadas con cantidades que oscilaran entre los 600 y los 60.100 euros.
  • Infracciones graves: en este caso, las multas oscilarían entre los 60.101 y los 300.506 euros.
  • Infracciones muy graves: En caso de que la infracción sea considerada como muy grave, las sanciones podría oscilar entre 300.507 y los 600.000 euros.

Es posible que sean acumulables, y si vendes datos de 5 usuarios te enfrentes a 5 multas por infracción muy grave…

 

Este ha sido el capítulo 9 del Curso de WordPress, si quieres aprender a hacer tu web paso a paso, échale un ojo al curso completo de WordPress.

9 comentarios en “Cómo hacer el aviso de cookies, política de privacidad y aviso legal para una web”

  1. Hola, David

    Me ha encantado el vídeo, lo explicas genial. Me gustaría hacerte una pregunta: ¿es necesario poner mi dirección y DNI para poder vender solamente productos digitales en pdf? No me gustaría poner esos datos. ¿Hay otra solución?

    Muchas gracias

    Paola

    • Pues lamentablemente, si estás en la Unión Europea sí. Puedes no hacerlo pero entonces no estarías cumpliendo. Esos datos deben corresponder a donde estés dada de alta en autónomos, el motivo creo que está en el control por parte de Hacienda, sólo nos afecta a los que trabajamos desde casa, ya que cualquier empresa no tiene problema en poner su domicilio fiscal… Es bastante injusto lo sé.
      Un saludo!

  2. Buenas David.
    Muchas gracias por la info y por el vídeo. Haces que todo parezca muy muy sencillo.

    Estoy haciendo una web de fisioterapia y en sí no se vende nada en la web. Se informa de los servicios y tratamientos pero nada más.

    Qué es lo que necesito rellenar para la página de política de privacidad?

    Muchas gracias y saludos

    • En el caso de la política de privacidad no afecta si vendes o no vendes, solo te afecta el caso de que recojas datos privados de tus usuarios, sigue este mismo tutorial para entender y saber aplicar el consentimiento en dos capas. Un saludo!

  3. Hola buenas noches.

    Primeramente muchas gracias por la información, me encuentro desarrollando mi sitio web y al parecer me hace falta mucho trabajo por delante.

    Mi sitio web va enfocado a informar de novedades tecnológicas, además de postear información referente a ciertos temas vinculados a la tecnología.

    Voy a empezar a trabajar en las políticas, Cookies y aviso legal y espero poder presentarle mi trabajo que sin duda sera bajo lo que nos ha compartido

  4. David, consulta desde Latinoamérica si vamos a trabajar con Amazon afiliados.es también debemos incluir toda la información legal q la Unión Europea solicita?

    • En teoría sí, pero en la práctica nadie te va a sancionar estando establecido al otro lado del Atlántico, así que no te preocupes demasiado. Un saludo!

Deja un comentario