Este documento describe los requisitos de la Ley Orgánica de Protección de Datos (LOPD) para comercios minoristas. La LOPD requiere que los comercios garanticen los derechos de los clientes sobre sus datos personales y tomen medidas para proteger la seguridad e integridad de dichos datos. Algunos de los pasos clave incluyen identificar los ficheros de datos personales, designar a un responsable de protección de datos, elaborar un documento de seguridad y registrar los ficheros ante la Agencia Española de Protección de
2. Ley Orgánica de Protección de Datos
de Carácter Personal (LOPD).
La normativa sobre protección de datos de carácter personal afecta a todas
las empresas, comercios y profesionales, incluso los regentados por
autónomos, que tengan ficheros (en papel o soporte informático) con datos
personales de personas físicas (clientes, personal, proveedores, etc.). Aunque
sea a nivel básico, están obligados a cumplir con la Ley Orgánica de
Protección de Datos cuando recaben en su actividad datos de carácter
personal, entendidos éstos como todos aquellos que identifiquen a una
persona física.
1
3. Habitualmente se hacen cosas en el día a día que son un riesgo y en consecuencia un foco de posibles
denuncias ante el organismo de control en materia de protección de datos. Entre este listado de riesgos
se encuentran algunos tan comunes como:
• Uso de papel reciclado de anteriores impresiones, que descontrolado es factible que se entregue a
terceros o se difunda a personas no autorizadas.
• Destrucción incorrectamente de papel con datos sensibles.
• Empleados que se llevan trabajo y por tanto datos a casa.
• Ordenadores utilizados por varios trabajadores a lo largo de una jornada de trabajo.
• Envíos personalizados a clientes por medios electrónicos (e-mail, WhatsApp, SMS).
• Traslado de documentación a lugares externos como asesorías, bancos, etc.
• Uso de redes sociales a nivel de empresa.
• Y otros muchos más,…
De ahí la importancia de conocer exactamente a qué se enfrenta tu negocio valorando los riesgos y
aplicando las correspondientes medidas que los anulen o cuanto menos los minimicen.
2
4. Esta Ley tiene como finalidad garantizar la protección y buen tratamiento de datos de carácter personal.
Estos datos se dividen en tres niveles atendiendo al grado de la información que recojas de tus clientes y/o
usuarios:
Finalidad de la LOPD:
Nivelbásico:
Datos identificativos,
como el NIF, NºSS,
nombre, apellidos,
dirección, teléfono,
firma, imagen, e-mail,
nombre de usuario,
número de tarjeta,
matrícula, etc.
Nivelmedio:
Datos a cerca de
infracciones
administrativas o
penales, solvencia o
crédito, datos tributarios
o de la Seguridad Social,
datos de prestación de
servicios financieros, y
datos referentes a la
personalidad o
comportamiento de las
personas, como gustos,
costumbres aficiones
etc.
Nivelalto:
Datos a cerca de
ideología, religión,
creencia, origen racial,
salud, vida sexual o
violencia de género.
3
5. El responsable de estos datos y de su tratamiento, será la persona que decida sobre la finalidad, el contenido y el
uso de los datos personales. Y por tanto será sobre quién recaerán las obligaciones establecidas por la LOPD, y
quien deberá hacer que se cumpla la Ley.
1
• Inscripción de ficheros; ante el Registro General de
Protección de datos.
2
• Calidad de los datos; que estos sean adecuados y
veraces.
3
• Deber de guardar secreto; garantizar el
cumplimiento de los deberes de secreto y
seguridad.
4
• Deber de información; Informar y obtener
consentimiento para la recogida y tratamiento de
los datos personales.
5
• Atención de los derechos de los ciudadanos;
derecho de acceso, derecho de rectificación y
cancelación y derecho de oposición.
4
6. Puesto que la LOPD tiene por objeto proteger la intimidad de las personas físicas, las personas jurídicas, no pueden
beneficiarse de esta protección. Por lo que si eres autónomo, según la situación en la que te encuentres, te
afectará de una u otra forma:
Autónomo administrador
de una S.L. o S.A.:
• En este caso el
autónomo, a nivel
personal no tiene
obligación de cumplir
con la LOPD, pero sí su
empresa, por lo que
como administrador de
ésta, tendrá que velar
para que cumpla con la
LOPD.
Autónomo con actividad
empresarial y personal a
cargo:
• Tendrá que cumplir con
la LOPD, al ser el
responsable de los
datos de carácter
personal de sus
empleados, además de
los de sus clientes y
proveedores.
Autónomo con actividad
empresarial sin personal a
cargo:
• Se evaluará la
naturaleza del negocio y
si trata datos de clientes
o proveedores, de qué
tipo son y si deben o no
estar organizados en
ficheros. Si no existen
ficheros no tiene que
cumplir con la LOPD.
Pero si sus clientes son
personas particulares
será probable que tenga
que cumplir con la
LOPD.
5
7. Porque tienes que adecuar tu
comercio a la LOPD:
Para garantizar que tu
negocio se encuentra
dentro de las exigencias
legales.
Porque te puedes enfrentar
a apercibimientos o
importantes sanciones
económicas.
Por el posible coste para
la empresa si ocurre una
pérdida de datos
personales
confidenciales.
6
8. Si tienes un comercio no puedes olvidarte de la LOPD.
Da igual que no tengas empleados, que tengas pocos clientes, que no tengas ordenador y apuntes todo en
una libreta.
Desde el momento en que recoges, almacenas y gestionas cualquier tipo de información de carácter
personal, debes estar adecuado a la LOPD.
Es evidente que las medidas de seguridad serán muy distintas según las características de tu negocio. No es
lo mismo que tengas una peluquería y solo recojas un nombre y un móvil para apuntar las citas en tu
agenda y una ficha con el tinte que utilizan tus clientes, que si tienes un comercio, con varios empleados,
videocámaras, TPV, recetas, etc.
En cualquier caso, salvo que no recabes ningún dato de tus clientes, no tengas empleados ni proveedores,
ni una Web con formulario de contacto, deberás adecuarte a la LOPD.
Estamos hablando del derecho fundamental a la protección de datos personales.
7
9. Pero además de la obligatoriedad que reviste la LOPD, adecuar tu comercio o negocio a esta regulación te
proporciona enormes beneficios y ventajas que deberías valorar:
Confianza:
• Cuando un cliente reconoce el
valor de sus datos, exige a los
titulares de las empresas que
hagan un uso ético y
responsable de su información
personal y seleccionará a las
empresas que garanticen la
seguridad de sus datos y el
respeto por sus derechos.
Diferenciación:
• Adecuar tu empresa a la LOPD
es dejar evidencias claras de un
uso responsable de la
información y de respeto por
tus clientes. Es la mejor manera
de diferenciarte de la
competencia y ganar
credibilidad.
Tranquilidad:
• Estar al margen de la LOPD es
arriesgado pues puede suponer
una denuncia ante la Agencia
Española de Protección de
Datos.
8
10. Cómo cumplir con la LOPD:
La AEPD, Agencia Española de Protección de Datos, es la autoridad de control independiente que vela por
el cumplimiento de la normativa y garantiza el derecho fundamental a la protección de datos personales.
Pero serán cada autónomo y cada empresa los que tengan que contratar los servicios de una empresa
especializada que se dedique a la implantación de la LOPD.
Los pasos para el proceso de implantación de la LOPD serán:
Identificación de
los ficheros que
contengan datos
de carácter
personal
(empleados,
clientes,
proveedores,
etc.).
Identificación del
nivel de
seguridad que se
les aplica.
Identificación del
Administrador
del Fichero.
Elaboración del
Documento de
Seguridad.
Formación al
Responsable del
Fichero.
Información a
los propietarios
de los datos,
sobre la
existencia de los
ficheros.
Inscripción de
los ficheros en el
Registro de la
Agencia
Española de
Protección de
Datos.
9
11. La Auditoría de Protección de Datos:
Para cumplir con esta LOPD debes, entre otras cosas, inscribir los ficheros que contengan datos personales
ante la AEPD, desarrollar un Documento de Seguridad, y en algunos casos, si tu empresa ha inscrito
ficheros con datos calificados de nivel medio y/o alto, realizar auditorias bienales sobre el cumplimiento
del Reglamento de Desarrollo de la LOPD (RDLOPD). La realización de la auditoria será también obligatoria
en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.
Una auditoria de LOPD, persigue verificar que tratas los datos de carácter personal cumpliendo con las
medidas y los controles exigidos tanto por la LOPD como por el RDLOPD, en función del nivel que
corresponda.
EL objetivo de una auditoria es verificar el cumplimiento o la adecuación a la obligaciones impuestas y se
podrá realizar de forma interna o externa, aunque es recomendable que no la realice quien haya
participado en el proceso de adecuación a la Ley. La auditoria, deberá finalizar con un informe que registra
los aspectos verificados, salvedades detectadas y determinará si tu empresa se ajusta o no a la Ley. En el
caso de no cumplir con ella, deberá indicar cuáles son las deficiencias y recomendar las medidas correctoras
necesarias.
10
12. Que datos personales recoge un
comercio:
Los datos personales son todos los que permiten identificar a una persona: El nombre, los apellidos, la fecha
de nacimiento, la dirección postal o la dirección de correo electrónico, el número de teléfono, el número de
identificación fiscal, el número de matrícula del coche, una fotografía, una imagen de video vigilancia, el
número de seguridad social, etc.
Cualquiera de ellos es susceptible de identificar a una persona y por eso necesitan protección.
Si tienes un comercio, necesariamente recoges algún tipo de información personal.
• Datos de una tarjeta de crédito.
• Datos para una tarjeta de fidelización.
• Correos para envío de promociones, sorteos y ofertas.
• Datos de contacto para reservas o pedidos.
• Datos obtenidos de video vigilancia.
• Etc.
11
13. Obligaciones de un comercio según la
LOPD:
Si tienes un comercio, debes garantizar una serie de derechos a las personas vinculadas a tu negocio, como
clientes, proveedores, empleados, etc.
El derecho a ser informado de cuándo, quién y porqué se tratan sus datos personales. Este derecho está
recogido en el artículo 5 de la LOPD “Deber de información”.
El derecho a acceder a los datos y, en caso necesario, el derecho a la modificación o supresión de los
datos o el derecho a la oposición al tratamiento de los mismos.
Derechos sobre actividades publicitarias. Es el mayor motivo de denuncias y sanciones para un
comercio. La LSSI-CE Ley de Servicios de la Sociedad de la Información establece que corresponde a la
Agencia Española de Protección de Datos (AEPD), la imposición de sanciones en el caso de infracciones
por el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o
medios de comunicación electrónica equivalentes.
12
14. Por otra parte, el RDLOPD se enfoca en comprobar que existen medidas técnicas que garanticen la protección de
los datos:
• Debes recabar de los interesados o afectados el consentimiento previo a incorporar en la recogida y
tratamiento de sus datos.
• Debes tener el consentimiento expreso y por escrito de tus trabajadores para tratar sus datos personales.
• Debes tener declarados e inscritos los ficheros de datos de carácter personal en el Registro General de
Protección de Datos de la Agencia Española de Protección de Datos.
• Debes contar con la resolución de la AEPD con los números de inscripción asignados.
• Debes tener redactado un Documento de Seguridad personalizado que cumpla lo estipulado en la ley
respecto a las medidas de seguridad a implantar.
• Debes implantar medidas que salvaguarden la seguridad, integridad y confidencialidad de los datos.
• Todos los miembros de tu empresa deben conocer sus obligaciones en materia de protección de datos y
debes definir las funciones y obligaciones del personal con acceso a datos personales.
• Debes tener redactado y firmado un contrato de comunicación y confidencialidad de datos con todos los
colaboradores o empresas con los que compartes información.
13
15. • Debes comprobar los controles de acceso a los sistemas y aplicaciones, y que permitan únicamente el acceso al
personal autorizado.
• Debes contar con los modelos de atención de los ejercicios de derecho de acceso, rectificación, cancelación y
oposición.
• Debes tener adecuadas todas las comunicaciones corporativas a la LOPD con las indicaciones legales
correspondientes.
• Debes realizar auditorias periódicas para la verificación del cumplimiento de las medidas de seguridad.
• Debes contar con un procedimiento para el envío de publicidad y marketing respondiendo a la legislación.
• Debes tener adecuada tu Web a la LSSI (redactando avisos legales y política de confidencialidad en tus
formularios de contacto).
• Debes tener un registro de incidencias y que esté correctamente cumplimentado.
• Debes tener mecanismos de identificación y autenticación que garanticen la seguridad en el acceso a la
información.
• Debes realizar con la periodicidad que establezcas, copias de respaldo de tus datos.
• Debe existir un registro de acceso a las aplicaciones que dispongan de datos personales.
14
16. Principios fundamentales de la LOPD
aplicadas a un comercio:
Como titular de un comercio, actúas como responsable de un fichero de datos de carácter personal.
Esto implica la necesidad de gestionar esos datos de acuerdo a unos principios:
Principio de información:
Las personas relacionadas con tu comercio tienen derecho a conocer acerca de la incorporación de sus
datos a un fichero, de la identidad y dirección del responsable (es decir, tu), de la finalidad del fichero, de
los destinatarios de la información, así como de la posibilidad de ejercitar los derechos de acceso,
rectificación, cancelación y oposición.
Recabar información personal sin informar adecuadamente a tus clientes es temerario, por tanto, si vas a
recabar datos para una promoción, sorteo, concurso, etc. es imprescindible introducir una cláusula
informativa adecuada a la finalidad de esa recogida.
15
17. Principio de calidad:
Los datos deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y los fines para los que se han
recogido, algo que debes tener muy en cuenta en tu comercio antes de requerir información a tus clientes. Es decir,
si tienes un comercio de zapatos, no puedes requerir información sobre el estado civil o la matrícula del coche de tu
cliente. La información que recojas debe ajustarse a la finalidad.
Principio de finalidad:
Los datos deben recogerse con fines determinados, explícitos y legítimos. Si tienes un comercio de alimentación y
recoges información sobre gustos y compras de clientes para mandarles promociones en función de sus intereses, no
puedes utilizar luego esa información para enviarles información sobre otros productos u otro negocio.
Principio de consentimiento:
Se entiende por consentimiento “toda manifestación de voluntad, libre, inequívoca, específica e informada,
mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.
No puedes tratar datos de una persona sin requerir su previo consentimiento, salvo que la Ley disponga otra cosa y
este podrá ser revocado en cualquier momento. Como por ejemplo para utilizar imágenes de clientes con fines
promociónales o compartir la información de tus clientes con terceros. Debes informarlo y requerirles el
consentimiento para poder ceder sus datos.
16
18. Principio de notificación:
Desde el momento que recoges datos personales, como responsable deberás notificar al Registro General de
Protección de Datos la creación, modificación o supresión de cualquier fichero o tratamiento de datos personales.
Principios de seguridad:
Todo responsable o encargado de un tratamiento tiene que adoptar todas las medidas necesarias para garantizar la
seguridad de los datos personales e impedir cualquier alteración, pérdida, tratamiento o acceso no autorizado.
Esto implica implantar medidas de seguridad en tu negocio adecuadas al tipo de información que recoges.
* En caso de que se produzca alguna brecha de seguridad que comprometa la confidencialidad de los clientes de tu
comercio, la Agencia Española de Protección de Datos, valorará la diligencia en la prevención, porque no es lo mismo
responder a una infracción acreditando una serie de medidas de seguridad que se adoptaron para minimizar el riesgo,
que no poder acreditar ninguna.
17
19. Clientes morosos en un comercio:
La morosidad afecta a muchos comercios y puede que también al tuyo.
¿Como debes tratar esos datos?
La inclusión de los datos de carácter personal en ficheros de morosos sólo podrá efectuarse cuando exista
una deuda cierta, vencida y exigible, que haya resultado impagada, y después de que se haya requerido al
cliente afectado el pago de la deuda por el acreedor.
Esto significa que no puedes incluir en un fichero de morosos a alguien sin haber requerido antes el pago
de la deuda por medios que puedas acreditar. Cuando un cliente cancele su deuda, deberás cancelar
inmediatamente el dato referido a su deuda.
18
20. Tus obligaciones respecto al cliente moroso:
Como responsable del fichero de morosos, tienes la obligación de notificar a tu cliente que has procedido a
incluirlo en el mismo detallando los datos incluidos, así como al derecho que le asiste a tu cliente para recabar
información de la totalidad de esos datos incluidos en los términos establecidos en la LOPD.
Tienes 30 días de plazo máximo para realizar esa notificación desde el registro del dato e informar a tu cliente
de su derecho a recabar información sobre los datos recogidos en el mismo.
También deberás adoptar las medidas organizativas y técnicas necesarias que permitan acreditar la realización
material del envío de la comunicación y la fecha de entrega o intento de entrega de la notificación.
19
21. Ley de Servicios de la Sociedad de la
Información y de Comercio
Electrónico (LSSICE).
La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) establece las
obligaciones y limites de las actividades empresariales y personales que pueden desarrollarse a través de
Internet, y establece los requerimientos específicos que deben cumplir los responsables de sitios web de
comercio electrónico.
Esta Ley obliga a todos los prestadores de servicios, tanto empresas como particulares, que realizan a
petición del usuario servicios a través de internet. Se incluyen las empresas que disponen de una web con
un catálogo de productos aunque no vendan por Internet.
Como prestador de servicios relacionados con internet debes mostrar obligatoriamente en tu Web de forma
permanente, fácil, directa y gratuita, información general sobre tu empresa y sobre los productos y servicios
que ofreces y las condiciones de los mismos.
20
22. Los datos que debes publicar son los siguientes:
• Nombre o denominación social (nombre y apellidos en caso de empresario autónomo).
• Domicilio social de la empresa, dirección de la residencia en caso de profesionales (Domicilio particular en
caso de empresario autónomo).
• Dirección de correo electrónico y teléfono o fax.
• Número de identificación fiscal.
• Los datos de inscripción en el Registro Mercantil o profesional correspondiente según se trate de una
empresa o un profesional.
Si la actividad del prestador de servicios es una profesión regulada, es decir, que solo se puede ejercer mediante
unas condiciones determinadas por una ley o normativa legislativa, se deben incluir:
• Los datos del colegio profesional y número de colegiado.
• Título académico oficial o profesional.
• El estado de la Unión Europea en el que se expidió el titulo y , en su caso, la homologación o reconocimiento
de la titulación.
• Las normas profesionales aplicables al ejercicio de esta profesión, como códigos deontológicos o de
conducta y los medios electrónicos a través de los cuales se pueden conocer estas normas.
21
23. Si se trata de prestadores de servicios que realizan actividades sujetas a autorización administrativa previa, se
debe informar de los datos relativos a dicha autorización y se debe identificar al órgano administrativo
competente de su supervisión.
Cuando se haga referencia a precios: Debes facilitar información clara y exacta sobre el precio del producto o
servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.
Cuando los prestadores de servicios relacionados con Internet empleen cookies deben recabar el
consentimiento de los usuarios después de que los mismos hayan sido informados de manera clara y completa
sobre su utilización y finalidad. Los proveedores de acceso a Internet están obligados a informar a sus usuarios
sobre los medios técnicos que permitan la protección frente a las amenazas de seguridad en Internet (virus
informáticos, programas espías, spam, etc.) y sobre las herramientas para el filtrado de contenidos no
deseados.
La LSSICE también establece:
• La prohibición expresa de envío de correos electrónicos publicitarios no solicitados o expresamente
consentidos.
• El deber de facilitar al cliente, información referente al proceso de contratación electrónica, en los instantes
anterior y posterior a la celebración del contrato.
22
24. En el caso de ser Prestador de Servicios de la Sociedad de la Información, deberás informar al Registro Mercantil
en el que te encuentres inscrito o aquel otro registro público en el que estuvieras registrado para obtener
personalidad jurídica a efectos de publicidad, de las direcciones de Internet que utilices para prestar los servicios
o al menos de la dirección principal (dominio) en un plazo máximo de 30 días desde el registro del dominio. Una
vez llevada a cabo la inscripción, tendrás que comunicar al registro correspondiente cualquier sustitución o
cancelación del nombre de domino.
23
25. BIBLIOGRAFÍA
Ley Orgánica de Protección de Datos
La Ley de Protección de Datos y el Autónomo
LOPD para un comercio: todo lo que necesitas saber
Riesgos en el cumplimiento de la LOPD para un pequeño comercio
¿Cumples con la LOPD? Pues vamos a comprobarlo
Agencia Española de Protección de Datos
Ayuda LOPD
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico
Ley sobre Servicios de la Sociedad de la Información y de Comercio Electrónico
24