Protección de Datos Personales y Seguridad en el Comercio Electrónico: Normativa Española

Legislación sobre Seguridad de la Información

Normativa de Protección de Datos Personales

La LOPD es la Ley Orgánica de Protección de Datos de Carácter Personal (LO 15/1999), desarrollada en el RD 1720/2007.

Objetivo: Garantizar y proteger los derechos fundamentales, especialmente la intimidad de las personas físicas en relación con sus datos personales. Especifica para qué se pueden usar, cómo debe ser el procedimiento de recogida y los derechos de las personas a las que se refiere, entre otros aspectos.

Existen 3 niveles de seguridad para los datos:

Medidas de Seguridad

El nivel aplicable es el más alto que corresponda a los datos del fichero. Si solo contiene datos personales, el nivel es básico; pero si incluye la afiliación sindical, el nivel de seguridad será alto.

• Nivel básico: Aplicable a todos los datos de carácter personal.
• Nivel Medio: Datos referidos a infracciones administrativas o penales, gestión tributaria, datos fiscales y financieros. Proporcionan información sobre las características o personalidad de los afectados.
• Nivel alto: El fichero debe estar encriptado.

Art. 18 CE.

Art. 31 bis CP (anterior).

Derechos Fundamentales

• Derecho a la Información: Derecho que tenemos cuando alguien nos pide nuestra información; se necesita un motivo o finalidad. Art. 5 LOPD. Permite conocer los ficheros que están manipulados con nuestros datos. Solo se puede usar una vez por año. A partir de la fecha de reclamación de los derechos ARCO, hay un mes desde esa reclamación.

Se debe informar sobre:

• Dónde está el fichero.
• Quién es la persona que manipula el fichero.
• Motivo por el cual se tratan los datos.
• Quién ha solicitado la información.
• Identidad de las personas que han manipulado el tratamiento de nuestros datos.
• Posibilidad de ejercer los derechos “ARCO”.

Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)

• Acceso: Derecho al acceso a nuestros datos. Informa de dónde vienen, de dónde se han obtenido y si hay una solicitud. El procedimiento es gratuito. Hay un mes de plazo para contestar desde la solicitud. Si no hay respuesta, se puede presentar una “reclamación de tutela de derechos”.
• Rectificación: Si la información recibida contiene datos incorrectos, existe el derecho a rectificarlos. Hay que acreditarlo y es importante que los datos estén actualizados. Debe hacerse por escrito, con fotocopias compulsadas, DNI y fecha de solicitud. El procedimiento es gratuito. El plazo es de 10 días; si se excede, se puede presentar una “reclamación de tutela de derechos”.
• Cancelación: Solo pueden ejercerlo los propietarios de los datos personales. Incluye el derecho a la consulta y a la cancelación de datos obsoletos, innecesarios o inadecuados. Se presenta en un papel oficial. No se puede delegar, salvo en casos de hospitalización o imposibilidad de presentarse (con informe médico). La petición debe ser clara y breve, explicando por qué se quieren cancelar los datos, adjuntando fotocopias que lo justifiquen. Es gratuito y el plazo es de 10 días.
• Oposición: Derecho a oponerse a que ciertos datos sean transmitidos. Solo lo tiene la persona titular de los datos, no un representante. El plazo es de 10 días; si se excede, se puede presentar una “reclamación de tutela de derechos”.

Excepciones al ejercicio de los derechos ARCO

• Si hay una prohibición legal.
• Si hay peligro para la defensa del Estado.
• Por cuestiones de seguridad pública.
• Para proteger derechos y libertades de terceras personas.
• Si hay una investigación policial.
• Por orden de un tribunal.
• Por inspección de Hacienda.

• Derecho a la Renovación del Consentimiento: Permite contradecir una orden anterior. El plazo es de 10 días desde la solicitud, pero no hay obligación de respuesta. Se puede pedir que se comunique cuándo se llevará a cabo. Además de por escrito, es el único derecho que puede ejercerse vía telefónica, con grabación de voz, aunque la respuesta será por escrito.
• Derecho de Consulta del Registro de Protección de Datos: Permite conocer el número de ficheros en los que aparecemos (instituto, federación, etc.). El plazo es de 10 días y se proporciona información de los ficheros. Permite obtener información de los registros en línea.
• Derecho de Impugnación de la Valoración: Se ejerce si no se cumplen los plazos o si solo se contesta una parte de la solicitud. Se reclama por fecha o contenido.
• Derecho a la Indemnización: Se puede solicitar una indemnización por daños causados por datos erróneos, siempre personales, nunca físicos. Hay diferentes tipos:

• Leves: 3.000 euros.
• Graves: 3.000 a 5.000 euros.
• Muy graves: a partir de 5.000 euros.

Reclamaciones: Si los errores provienen de la Administración Pública, hay un plazo de 3 meses para reclamar. Se presenta un documento a la Agencia Española de Protección de Datos (AEPD), utilizando los modelos disponibles.

Administraciones Públicas: Hay diferentes recursos:

• Recurso potestativo de reposición.

Juzgado:

• Con empresas privadas.
• Recurso administrativo: APDCAT (Autoritat Catalana de Protecció de Dades) - C/ Llacuna, 166, 7ª planta, 08018, Barcelona.
• Recurso administrativo: AEPD (Agencia Española de Protección de Datos) - C/ Jorge Juan, 6, 28001, Madrid.

LSSICE 34/2002: Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico

La LSSICE 34/2002 regula y da seguridad al comercio electrónico. Se actualiza desde el 11/04/2012. Está relacionada con el correo electrónico; las empresas están obligadas a dar información clara sobre el precio del producto y la persona responsable del fichero. En la página web se incluye un contrato de compraventa, con una validez durante el tiempo estimado.

Objetivo

• Contraprestación.
• Vía telemática.
• Individual.
• Ámbito de la ley.

• Incumplimiento de contrato.
• Individuales.

Aplicaciones de la ley (art. 10.1)

• Requisitos del prestador del servicio.

CMT (Comisión del Mercado de Telecomunicaciones)

La CMT regula la información telemática y normaliza el procedimiento para tratarla.

• Obligación de las partes.
• Exculpación de responsabilidad.
• Periodos de validez de contratos.

Contrato: Fecha de validez del contrato. Al firmarlo, aceptamos la compra. Desde la compra hasta la recepción pueden pasar 10 días. La garantía empieza a contar desde la recepción del producto.

Infracciones y Sanciones (art. 21)

• Leves: hasta 30.000 euros.
• Graves: 30.001 – 150.000 euros.
• Muy graves: 150.001 – 600.000 euros.

Art. 45 Prescripciones

Las prescripciones indican cuándo caducan las infracciones o sanciones.

Infracciones

• Leves: 1 año.
• Graves: 2 años.
• Muy graves: 3 años.

Sanciones

• Leves: 6 meses.
• Graves: 2 años.
• Muy graves: 3 años.

Art. 21 Spam

• Nivel individual: 3 correos.
• Nivel de persona: 1 al año.

Infracciones

• Graves.
• Leves.

Sanciones

• Leves: 30.000 euros.
• Graves: 30.001 – 150.000 euros.

Art. 39

• Cuando en un periodo de 3 años hay una infracción muy grave sancionada con carácter firme, puede dar lugar a una sanción de prohibición en España por un periodo de 2 años.
• Código de conducta.

Licencias de Software

El objetivo es un contrato entre un proveedor, un producto y los distintos usuarios.

• Debe tener el número de copias.
• La forma en que se instala la aplicación.
• El periodo de la instalación.
• El precio de la licencia (IVA, periodo anual o mensual).
• Periodo de garantía.

• La licencia de uso puede ser mensual o anual.
• Licencia de uso (total): como un contrato de propiedad o de compraventa.
• Estandarizadas (libre): se descargan sin pagar.

Leyes que lo recogen

• LPI (1/1996) (art. 95 – 104).
• Leyes del Código Civil.
• Leyes del Código Mercantil.
• Ley 7/1998 del 13 de abril.
• RDL 1/2007 de noviembre.
• Ley 34/2002 (clic-wrap).