Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Resumen de los requisitos legales

A medida que el mundo depende cada vez más de los productos y servicios digitales, la privacidad de los datos se ha convertido en una prioridad de primer nivel para muchos países y regiones. En consecuencia, muchas regiones han establecido normativas de protección de datos sólidas y exigibles que las empresas deben respetar.

En la mayoría de los casos, el incumplimiento de estas normativas puede tener importantes consecuencias financieras, así como perjudicar de forma significativa y duradera la confianza pública y la reputación de tu organización. Por ello, es importante que te asegures de que tu empresa cumple con sus obligaciones legales.

Requisitos legales generales

Principales componentes

Según la gran mayoría de legislaciones, si tratas datos personales, por normal general, debes divulgar tus actividades de tratamiento de datos mediante una política de privacidad exhaustiva, garantizar que existen medidas de seguridad efectivas para proteger los datos personales e implementar métodos para obtener el consentimiento de los usuarios o facilitar su retirada.

Esta información de privacidad debe estar actualizada, ser comprensible, inequívoca y fácilmente accesible en tu web/app. Algunos componentes pueden variar dependiendo del tipo de tratamiento de datos que realices, la región geográfica, la edad de tus usuarios o el tipo de empresa que gestiones. Por ello, cabe destacar que, además de los aspectos generales aquí descritos, puedes tener otras responsabilidades dependiendo de la normativa aplicable en tu caso. Puedes encontrar más información sobre situaciones específicas en las siguientes secciones.

Divulgación de información

En general, se debe informar a los usuarios de:

  • Los datos del propietario del sitio web o la app
  • La fecha de vigencia de tu política de privacidad
  • Tu procedimiento de notificación de los cambios en tu política
  • Qué datos se recopilan
  • Los terceros que tienen acceso a los datos (incluyendo quiénes son y qué datos recopilan)
  • Sus derechos en relación a sus datos.

Además, es posible que tengas que divulgar información adicional a los usuarios, a los terceros y a la autoridad de control dependiendo de la normativa aplicable en tu caso.

Una de estas leyes es la Ley de Privacidad de los Consumidores de California (CCPA). Según la CCPA, se debe informar a los usuarios de la posibilidad de que se vendan sus datos personales (puedes entender el concepto de “venta”, en este contexto, como “compartir datos con terceros a cambio de alguna contraprestación, monetaria o de otro tipo”). La comunicación a los usuarios debe ser visible desde la página principal del sitio web y debe incluir un enlace de exclusión voluntaria (No Vendan Mi Información Personal, DNSMPI). Puedes encontrar más información sobre conformidad con la CCPA aquí.

Consentimiento

En este contexto, el consentimiento se refiere al acuerdo voluntario e informado de un individuo a participar en un evento o proceso concretos.

En términos generales, los usuarios deben tener la opción de rechazar, retirar u otorgar (dependiendo de cada ley regional) su consentimiento. Se puede obtener el consentimiento mediante cualquier método que requiera que el usuario realice una acción afirmativa directa y verificable. Tales acciones pueden incluir casillas de verificación, campos de texto, botones de activación, enviar un correo electrónico de confirmación, etc.

Determinar la normativa aplicable en tu caso

Generalmente, se te aplican las leyes de una región concreta si:

  • Tu sede de operaciones está allí; o
  • Utilizas servicios de tratamiento o servidores situados en dicha región; o
  • Tu servicio se dirige a usuarios de dicha región

Esto significa que puede que te sean aplicables determinadas normativas regionales (a ti o a tu organización), independientemente de que tengas tu sede en dicha región o no. Por ello, siempre es recomendable que abordes todo lo relativo a tus actividades de tratamiento de datos teniendo en cuenta las normativas más estrictas. Puedes encontrar más información sobre las leyes que te son aplicables aquí.


Requisitos regionales: Legislación de EE. UU.

En EE. UU. no existe una única normativa de protección de datos a nivel nacional. Sin embargo, sí que existen diversas leyes estatales, así como directrices sectoriales y leyes federales específicas. Como la actividad online de un sitio web o una app raramente se limita a un solo estado, siempre es mejor adaptarse a la regulación aplicable más estricta. Teniendo en cuenta lo anterior, el marco normativo más robusto, en lo relativo a las leyes de protección de datos, es el del estado de California. La Ley de Protección de la Privacidad en Internet de California (CalOPPA), en vigor desde 2004, fue la primera ley estatal en hacer que las políticas de privacidad fueran obligatorias y se aplica a cualquier persona o empresa cuya web o app trate datos personales de residentes californianos.

Además de las obligaciones de divulgación de información generales mencionadas anteriormente, la CalOPPA también exige que:

  • Publiques tu política de privacidad en un lugar visible en la página principal de tu web o app
  • Incluyas en tu política de privacidad una descripción del proceso mediante el cual los usuarios pueden solicitar modificaciones en relación con sus datos personales (si existe tal proceso)
  • Incluyas en tu política de privacidad una declaración sobre cómo se tratan las solicitudes de “No rastrear”
  • Notifiques a los usuarios afectados en caso de que se produzcan violaciones de seguridad que afecten a sus datos personales

En lo relativo al consentimiento, la legislación de EE. UU. generalmente exige que proporciones a tus usuarios una opción clara para retirar su consentimiento (exclusión voluntaria). Sin embargo, en supuestos relativos a “datos sensibles” (por ejemplo, información sanitaria, informes crediticios, datos estudiantiles, información personal de niños menores de 13 años) se aplican normas distintas. En dichos casos, debe haber una acción de participación verificable, como marcar una casilla u otro tipo de acción afirmativa.

Precauciones especiales cuando se trate de menores

Si tu servicio recopila, utiliza o difunde conscientemente información personal de niños menores de 13 años, serán de aplicación normas especiales respecto de dichas actividades de tratamiento de datos.

La Ley de Protección de la Privacidad de los Menores en Internet (COPPA) es una ley federal de EE. UU. que tiene como objetivo proteger los datos personales y los derechos de los niños menores de 13 años.

Según esta ley, si gestionas un sitio web o un servicio online que se dirija a menores de 13 años o si eres consciente de que estás recopilando información personal de menores de 13 años, debes avisar a los padres o tutores y obtener su consentimiento verificable antes de recopilar, utilizar o difundir la información, así como garantizar la seguridad de la información obtenida.

“Verificable”, en este contexto, significa que debes utilizar un método de obtención de consentimiento que no pueda ser fácilmente falsificado por un niño y que permita demostrar que probablemente ha sido otorgado por un adulto (por ejemplo, mediante la comprobación de un documento de identidad oficial).

Qué se entiende por “información personal” de los menores

“Información personal”, en este contexto, se refiere a:

  • El nombre o la información identificativa del niño (por ejemplo, su número de la Seguridad Social)
  • La información de ubicación, incluyendo su dirección física, sus datos de geolocalización o su dirección IP
  • Cualquier tipo de información de contacto, incluyendo números de teléfono y direcciones de correo electrónico
  • Identificadores del dispositivo
  • Contenidos multimedia en los que aparezca la imagen o la voz del niño, incluyendo fotos, vídeos o archivos de audio

💡 Más información sobre los requisitos legales relativos a los menores y la COPPA.

Requisitos regionales: Europa

RGPD

El Reglamento General de Protección de Datos (RGPD) se promulgó con el fin de centralizar la protección de datos de los usuarios en la UE. Entró en vigor en mayo de 2018. Básicamente, el RGPD establece cómo se deben tratar los datos personales de forma legal (incluyendo la forma en que se recopilan, utilizan y protegen o cómo se interactúa con ellos).

Cuándo se aplica

El RGPD se aplica cuando:

  • La sede de una organización se encuentra en la UE (esto es de aplicación con independencia de si el tratamiento de los datos se realiza dentro de la UE o no);
  • Una organización establecida fuera de la UE oferta bienes o servicios (aunque se ofrezcan de forma gratuita) a personas situadas en la UE. Puede ser una agencia gubernamental, una empresa pública o privada, un individuo o una organización sin ánimo de lucro;
  • Una organización establecida fuera de la UE que rastrea el comportamiento de personas que se encuentran en la UE, siempre que dicho comportamiento tenga lugar en la UE.

En la práctica, este ámbito de aplicación abarca a casi todas las empresas y, por lo tanto, significa que el RGPD te puede afectar independientemente de si tu organización tiene su sede en la UE o no.

Nota: La protección proporcionada por el RGPD también alcanza a usuarios localizados fuera de la UE si el responsable del tratamiento tiene su sede en la UE. Por lo tanto, si eres un responsable del tratamiento de datos personales y tienes tu sede en la UE, por defecto, debes aplicar los estándares de protección del RGPD a TODOS tus usuarios.

Cuándo no se aplica

Las condiciones de aplicabilidad del RGPD se establecen desde un punto de vista material y territorial. Para determinar si una actividad de tratamiento de datos determinada está exenta de la aplicación de esta norma, tenemos que considerar ambos aspectos.

Punto de vista material

El RGPD se aplica al tratamiento de datos personales. Por lo tanto, el RGPD no se aplica a los datos empresariales, como la denominación social de una empresa y su dirección. Sin embargo, hay que tener cuidado en este sentido, porque en una empresa normalmente trabajan “personas físicas”, por lo que cualquier dato que se refiera a ellas se considerará “personal”, independientemente de si el tratamiento de dichos datos se produce en un contexto de Negocio a Consumidor (B2C) o de Negocio a Negocio (B2B).

Además, es posible que los datos personales no entren dentro del ámbito de aplicación del RGPD en otras situaciones, incluyendo cuando una persona física realiza el tratamiento con fines puramente personales o domésticos. Puedes encontrar más información al respecto en nuestra guía específica haciendo clic aquí.

Punto de vista territorial

Además de lo anterior, y sin perjuicio de lo comentado más arriba, ya hemos mencionado en qué condiciones se aplica el RGPD. En consecuencia, para que una actividad de tratamiento no esté sujeta al RGPD desde un punto de vista territorial, se deben reunir acumulativamente las siguientes condiciones:

  • el responsable (o encargado) del tratamiento no tiene su sede en la UE. Nota: Recuerda siempre que el responsable (o encargado) del tratamiento también podría ser una sucursal europea de una organización no perteneciente a la UE: en ese caso, incluso si la sucursal no tuviera personalidad jurídica, el RGPD se aplicaría de forma plena;
  • el tratamiento no tiene relación con la oferta de bienes o servicios (de pago o gratuitos) a los interesados en la Unión o con el seguimiento de su comportamiento en la medida en que tenga lugar dentro de la Unión;
  • el responsable del tratamiento no tiene su sede en un lugar situado fuera de la UE, en el que la legislación de la UE resulte aplicable en virtud del Derecho internacional público.

Para ver ejemplos en nuestra guía específica, haz clic aquí.

🎙️
Ask our experts live

View live demos and have your questions answered in real time by attending one of our free English webinars. They are all practical and designed to really help you with understanding and achieving compliance for your websites or apps.

Attend our free webinars

Requisitos del RGPD

En general, el RGPD te obliga a:

Tener una base jurídica. El RGPD exige que tengas al menos una base jurídica para tratar los datos personales de tus usuarios. Existen 6 bases jurídicas según el RGPD.

Obtener un consentimiento verificable. Según el RGPD, el consentimiento es una de las posibles bases jurídicas para el tratamiento de datos personales de los usuarios y, por lo tanto, se debe otorgar de forma “libre, específica, informada y explícita”. Esto significa que el mecanismo para la obtención del consentimiento debe ser inequívoco e incluir una clara acción de “participación” (el Reglamento prohíbe específicamente las casillas preseleccionadas y otros mecanismos similares de “exclusión voluntaria”).

El RGPD también otorga a los usuarios el derecho específico a retirar su consentimiento y, por lo tanto, la retirada debe ser tan sencilla como su concesión. Como el consentimiento en virtud del RGPD es un asunto tan importante, es esencial que mantengas registros claros relacionados con el mismo.

El registro de consentimientos debe contener al menos la siguiente información:

  • La identidad del usuario que otorga su consentimiento;
  • Cuándo se otorgó el consentimiento;
  • Qué información se proporcionó al usuario cuando dio su consentimiento;
  • Los métodos utilizados para obtener el consentimiento (por ejemplo, un formulario para una newsletter, durante el proceso de compra, etc.);
  • Si se ha retirado el consentimiento o no

El consentimiento no es la ÚNICA razón en virtud de la cual una organización puede tratar datos de los usuarios, sino que es simplemente una de las “bases jurídicas” existentes. Por lo tanto, las empresas pueden emplear otras bases jurídicas (dentro del ámbito de aplicación del RGPD) para sus actividades de tratamiento de datos. Dicho esto, siempre habrá actividades de tratamiento de datos en las que el consentimiento sea la única o mejor opción.

Muchas autoridades de protección de datos de la UE han reforzado sus requisitos y han alineado sus reglas sobre cookies y rastreadores con los requisitos del RGPD. Más específicamente, se requiere que registres y almacenes pruebas de las preferencias de tus usuarios.

Los Registros de Preferencias de Cookies ahora están disponibles en nuestro servicio Privacy Controls and Cookie Solution. Clic aquí para obtener más información acerca de cómo activar los registros de preferencias de cookies dentro de Privacy Controls and Cookie Solution.

Derechos de los interesados

Según el RGPD, los usuarios tienen una serie de derechos legales en relación con sus datos personales. Como responsable del tratamiento, no solo debes respetar estos derechos, sino que tienes que informar a tus usuarios sobre ellos. Estos derechos incluyen:

  • El derecho a ser informado
    Además de las obligaciones generales de divulgación de información descritas anteriormente, el RGPD te exige disponer de avisos de privacidad concisos, comprensibles y fácilmente accesibles en tu web o app.
  • El derecho de acceso
    Los usuarios tienen derecho a acceder a sus datos personales y a la información sobre cómo se tratan los mismos.
  • El derecho de rectificación
    Los usuarios tienen derecho a solicitar la rectificación de sus datos personales si son inexactos o están incompletos.
  • El derecho de oposición
    Según el RGPD, los usuarios tienen derecho a oponerse a ciertas actividades de tratamiento de sus datos personales.
  • El derecho a la portabilidad de los datos
    En determinadas condiciones, los usuarios tienen derecho a obtener (en un formato electrónico legible) y a utilizar sus datos personales para sus propios fines.
  • El derecho de supresión
    Los usuarios tienen derecho a solicitar que se eliminen sus datos personales y a que cese toda difusión de los mismos cuando estos ya no sean relevantes para su fin original o cuando los usuarios hayan retirado su consentimiento.
  • El derecho a limitar el tratamiento
    Los usuarios tienen derecho a limitar el tratamiento de sus datos personales en casos específicos.
  • Derechos relacionados con las decisiones automatizadas y la elaboración de perfiles
    Los usuarios tienen derecho a no ser objeto de una decisión cuando esta se base en el tratamiento automatizado o la elaboración de perfiles y produzca efectos jurídicos en el usuario o le afecte significativamente de forma similar.

Cumple los requisitos específicos si transfieres datos fuera de la EEE. El RGPD permite la transferencia de datos de residentes en la UE fuera del Espacio Económico Europeo (EEE) solo si se cumplen una serie de condiciones.

Implementa la privacidad desde el diseño y por defecto. Según el RGPD, la protección de datos debería incluirse desde el inicio en el diseño y desarrollo de los procesos empresariales y de infraestructura.

Informa sobre las violaciones de seguridad. Según el RGPD, estás obligado a informar a la autoridad de control de las violaciones de seguridad que afecten a datos de los usuarios en el plazo de 72 horas desde que tuviste conocimiento de la violación. En muchos casos, también estás obligado a informar a los usuarios afectados.

Nombra un DPD (cuando se cumplan una serie de condiciones). En determinadas condiciones, puede que estés obligado a nombrar a un Delegado de Protección de Datos (DPD), que debera supervisar todas las actividades de tratamiento de datos que realices, así como tu conformidad con la ley aplicable. Entre los supuestos en los que es obligatorio el nombramiento de un DPD se incluyen aquellos en los que se realice un tratamiento sistemático y a gran escala de datos de los usuarios, así como aquellos casos en los que se están tratando categorías especiales de datos (como datos sensibles).

Debes mantener un registro de tus actividades de tratamiento. Tal y como establece el artículo 30 del RGPD, debes mantener actualizado un registro “completo y exhaustivo” de tus actividades de tratamiento de datos. El registro completo y exhaustivo de las actividades de tratamiento se exige expresamente en aquellos casos en los que dichas actividades de tratamiento de datos no son ocasionales, cuando pueden entrañar un riesgo para los derechos y libertades de terceros, cuando implican el tratamiento de “categorías especiales de datos” o cuando tu organización tiene más de 250 empleados. En la práctica, esto incluye a casi todos los responsables y encargados del tratamiento de datos. Sin embargo, aunque tus actividades de tratamiento no se incluyan en ninguna de estas situaciones, tu deber de informar a los usuarios te impone la obligación de mantener un registro básico con los datos que recopilas, sus fines, todas las partes implicadas en el tratamiento de los mismos y el plazo de conservación de los datos, lo que es obligatorio para todos. Puedes encontrar más información sobre cómo mantener registros conforme a la normativa para responsables y encargados del tratamiento en nuestra Guía del RGPD.

Realiza una EIPD (cuando se cumplan ciertas condiciones). En aquellos casos en los que es probable que la actividad de tratamiento de datos implique un alto riesgo para los usuarios, el RGPD exige que se realice una Evaluación de Impacto Relativa a la Protección de Datos (EIPD).

Dado que el uso de cookies puede implicar tanto el tratamiento de datos de los usuarios como la instalación de archivos en sus dispositivos, estas herramientas son una gran fuente de preocupación en lo que respecta a los derechos de privacidad de los datos de los usuarios. La Directiva ePrivacy (o Ley de Cookies) se promulgó para abordar este problema.

Según la Ley de Cookies, las organizaciones que se dirijan a usuarios de la UE deben informar a los usuarios sobre sus actividades de recogida de datos y darles la opción de elegir si las permiten o no. Esto significa que si tu sitio web o app (o cualquier servicio de terceros utilizado por tu sitio web o app) utiliza cookies, debes obtener un consentimiento válido antes de instalar dichas cookies, excepto en el supuesto de que esas cookies entren dentro de la categoría de cookies exentas.

💡 Para saber más sobre las normas de consentimiento sobre cookies de la UE que se aplican en cada país, consulta aquí nuestra guía RGPD y consentimiento de cookies: tabla de resumen.

Banner de cookies

En la práctica, tendrás que mostrar un banner en la primera visita del usuario, establecer una política de cookies que contenga toda la información obligatoria e informar a los usuarios sobre los medios a su disposición para rechazar el tratamiento de sus datos o retirar su consentimiento. Antes de obtener este consentimiento informado y expreso, no se podrán instalar cookies (salvo aquellas que estén exentas).

El banner debe:

  • explicar brevemente la finalidad de la instalación de las cookies que utiliza tu web;
  • ser lo suficientemente visible para que no pase desapercibido;
  • contener un enlace a una política de cookies o poner a disposición del usuario detalles sobre la finalidad de las cookies, su uso y las actividades de terceros relacionadas con estas;
  • definir claramente qué acciones indican consentimiento.

Política de cookies

La Política de cookies debe:

  • describir en detalle la finalidad de la instalación de las cookies;
  • indicar todas las terceras partes que instalan o que podrían instalar cookies, con un enlace a sus respectivas políticas de privacidad, políticas de cookies y formularios de consentimiento;
  • informar al usuario sobre cómo puede ejercer su derecho a rechazar o retirar su consentimiento.

Bloquear las cookies antes de obtener el consentimiento

De conformidad con los principios generales de la normativa de privacidad, que no permite el tratamiento de los datos antes de obtener el consentimiento, la Ley de Cookies no permite la instalación de cookies antes de obtener el consentimiento del usuario. En la práctica, esto significa que tendrás que utilizar alguna forma de bloqueo de los scripts de cookies antes de obtener el consentimiento del usuario.

Se puede otorgar el consentimiento de cookies mediante distintas acciones

Dependiendo de la autoridad local, estas acciones pueden incluir seguir navegando, hacer clic en enlaces o desplazarse por la página. En muchos casos, hacer clic en “ok”, cerrar el banner o seguir navegando en un sitio web que instale cookies puede considerarse consentimiento activo a la colocación de dichas cookies, siempre que los usuarios hayan sido informados previamente y de forma clara de las consecuencias de estas acciones.

Exenciones del requisito de consentimiento

Algunas cookies están exentas del requisito de consentimiento y, por lo tanto, no hay que bloquearlas de forma preventiva (aunque sigues estando obligado a informar a los usuarios sobre tu uso de cookies; consulta el cuadro de advertencia a continuación). Las exenciones son las siguientes:

  • Cookies técnicas estrictamente necesarias para prestar el servicio. Estas incluyen cookies de preferencias, de sesión, de equilibrio de carga, etc.
  • Cookies estadísticas gestionadas directamente por ti (no por terceros), siempre que los datos no se utilicen para elaborar perfiles *
  • Cookies estadísticas anonimizadas de terceros (por ejemplo, Google Analytics) *

*Es posible que esta exención no se aplique a todas las regiones, ya que depende de las normativas locales específicas.

Advertencia

La exención al requisito de consentimiento tan solo se aplica de forma inequívoca a las cookies técnicas que no realizan seguimiento y que son estrictamente necesarias para el funcionamiento de los servicios que hayan sido expresamente solicitados por el usuario.
Un ejemplo práctico de esta exención sería el supuesto de un sitio de comercio electrónico que permite a sus usuarios “retener” artículos en su carrito mientras navegan por la página o a lo largo de la duración de una sesión. En esta situación, las cookies técnicas son necesarias para el funcionamiento del servicio de compra. Además, han sido explícitamente solicitadas por el usuario al indicar que quería añadir un producto a su carrito. Sin embargo, debes tener en cuenta que estas cookies técnicas basadas en cada sesión no son cookies de seguimiento.

Otros ejemplos de estas cookies técnicas serían las cookies de sesión centradas en el usuario que se utilizan para detectar abusos de autenticación, las cookies de sesión de equilibrio de carga, las cookies de sesión del reproductor multimedia que se refieren a la prestación de servicios solicitados por el usuario y que son necesarias para dicha prestación.

¿Significa esto que no tengo por qué tener un banner de cookies en estos casos?

En primer lugar, es importante destacar que aunque se aplique esta excepción al requisito de consentimiento, todavía tendrás que informar al usuario del uso de cookies a través de una política de cookies. El banner no es necesariamente obligatorio en este ejemplo concreto si la política de cookies es fácilmente accesible y visible desde todas las páginas de tu sitio web.

En el futuro, la Directiva ePrivacy será reemplazada por el Reglamento ePrivacy, que regulará la materia junto con el RGPD. Se espera que este próximo Reglamento opere de acuerdo con los mismos valores que la Directiva.

FADP: Ley Federal de Protección de Datos de Suiza

La FADP, creada en 1992 y actualizada parcialmente en 2019, regula la privacidad de los datos en Suiza. La última revisión, la cual se aprobó el 25 de septiembre de 2020 y entró en vigor a partir de septiembre de 2023, integra nuevas disposiciones parecidas al RGPD, si bien mantiene los principios suizos que caracterizan a esta Ley.

Cambios clave en la FADP

  1. Privacidad desde el diseño: Ahora las empresas tienen la obligación de elaborar procedimientos partiendo de la base de la conformidad de los datos.
  2. Datos sensibles: La definición se ha ampliado para incluir información biométrica, genética y de otros tipos.
  3. Evaluaciones de impacto: Se exigen cuando existe un riesgo considerable para los derechos o la privacidad de los interesados.
  4. Comunicación ampliada: Las empresas tienen la obligación de obtener el consentimiento previo antes de tratar datos personales sensibles o al realizar elaboraciones de perfiles que conlleven un riesgo alto.
  5. Registro de las actividades de tratamiento: Las empresas deben llevar este registro, aunque es posible que ciertas pymes estén exentas de hacerlo.
  6. Notificación de la violación de la seguridad de los datos: En caso de que se produzca una violación de la seguridad de los datos, se debe informar al FDPIC de inmediato.
  7. Elaboración de perfiles: En la Ley se reconoce el concepto jurídico de tratamiento automatizado de datos personales.
  8. Bases jurídicas para el tratamiento: En general, el tratamiento de los datos personales se considera lícito. En determinadas circunstancias se requieren bases jurídicas específicas.
  9. Mecanismo de consentimiento: El consentimiento del interesado solo es obligatorio en determinados casos.
  10. Sanciones: Se imponen principalmente a los altos ejecutivos de las organizaciones.

💡 Puedes obtener más información sobre la última revisión de la Ley Federal de Protección de Datos de Suiza aquí →

Principales diferencias entre la FADP y el RGPD

Aunque existen numerosos matices entre ambas leyes, las diferencias más notables son las siguientes:

  • Aplicabilidad: La FADP abarca a las organizaciones que tratan datos de residentes suizos, con independencia de que estas organizaciones estén dentro o fuera de Suiza. En cambio, el RGPD se aplica a las organizaciones con sede en la Unión Europea o a las que tratan datos de residentes en la Unión Europea.
  • Categorías de datos sensibles: La definición de la FADP es más amplia que la del RGPD.
  • Contratos: Según la FADP, los responsables y encargados del tratamiento pueden celebrar un contrato, mientras que el RGPD exige un Acuerdo de Tratamiento de Datos.
  • Obligaciones de comunicación: Ambas leyes incluyen requisitos con respecto a la comunicación de los datos, si bien el RGPD impone requisitos adicionales.
  • Transferencia de datos al extranjero: La FADP y el RGPD tienen disposiciones y excepciones diferentes.
  • Delegado de protección de datos: En la FADP esta función es opcional, mientras que en el RGPD se exige para entidades específicas.
  • Notificaciones de la violación de la seguridad de los datos: La FADP hace hincapié en notificar solo las violaciones que conlleven un riesgo alto, mientras que el RGPD prevé un plazo más estricto y una obligación de notificación más amplia.
  • Sanciones: La FADP impone sanciones de hasta 250.000 francos suizos, mientras que en el caso del RGPD las sanciones pueden alcanzar hasta los 20 millones de euros o una fracción de la facturación global.

La nueva versión de la FADP se aplica a:

  • Particulares que tratan datos personales.
  • Organismos federales. No afecta a las personas que tratan datos con fines estrictamente personales.

En conclusión, las empresas, en particular las que operan en Suiza o con Suiza, deben familiarizarse con las nuevas previsiones de la FADP. Plataformas como iubenda pueden ayudar a garantizar el cumplimiento, para lo que es necesario disponer de una sólida política de privacidad y cookies. Conforme evoluciona la normativa internacional sobre protección de datos, las organizaciones de todo el mundo deben estar al día y garantizar su conformidad.

🚀 Consulta aquí cómo cumplir la FADP →


Requisitos legales circunstanciales

Comercio electrónico

En general, estos requisitos se abordan a través de un documento de términos y condiciones válido y actualizado (también denominado ToS: términos de servicio, términos de uso o EULA: contrato de licencia de usuario final).

Además de las obligaciones de divulgación de información y los requisitos mencionados anteriormente (y sujetos a tu normativa aplicable), si gestionas un sitio web o una app de comercio electrónico, también estás sujeto a la legislación mercantil aplicable y a las reglas del sector en el que operes.

Respecto al comercio B2B

Por lo general, las personas involucradas en transacciones comerciales B2B están sometidas a los contratos y a las directrices sectoriales y nacionales que sean aplicables. Sin embargo, la participación en el comercio B2B a menudo requiere que se traten datos personales (ya sean de los empleados de la empresa o de terceros). En dichos casos, y cuando el tratamiento se encuentre dentro de su ámbito de aplicación, el RGPD es aplicable y tiene prioridad.

Respecto al comercio B2C

Según las leyes de protección de los consumidores de la mayoría de los países, al vender a consumidores, además de cumplir las obligaciones de divulgación de información sobre privacidad exigidas por defecto, tendrás que informar a tus clientes de lo siguiente:

  • Las condiciones de cambio o devolución;
  • La información sobre garantías (en su caso);
  • La información de seguridad, incluyendo las instrucciones para el uso adecuado del producto (en su caso);
  • Las condiciones de entrega del producto o servicio;
  • Los datos identificativos, como la dirección a efectos legales y el nombre de la empresa;
  • Los derechos de los consumidores (como los derechos de desistimiento), en su caso;
  • Los datos de contacto del vendedor (por ejemplo, su dirección de correo electrónico).

Legislación de EE. UU.

En EE. UU., no existe una sola ley a nivel nacional que regule las devoluciones o los reembolsos para compras online, ya que en la mayoría de los casos estas reglas se aplican a nivel estatal. Sin embargo, según las normativas de varios estados, si no se muestra un aviso a los consumidores con las condiciones de devolución o reembolso antes de la compra, los consumidores obtendrán automáticamente derechos de devolución o reembolso adicionales. En aquellos casos en los que el producto adquirido fuera defectuoso, es posible que se aplique una garantía implícita en lugar de una garantía escrita. Las garantías escritas deben cumplir, como mínimo, con los estándares de equidad del sector.

Si bien los requisitos de divulgación de información del comercio electrónico en EE. UU. siguen siendo en gran medida aplicables estado por estado, en muchos casos se considera una práctica estándar incluir esta información mediante un documento de Términos y Condiciones. Además, la información sobre las devoluciones y reembolsos se incluye habitualmente en secciones de contenido específicas del sitio web o de la app que sean fácilmente accesibles desde la página de descripción del producto.

Legislación de la UE

La legislación de protección de los consumidores de la UE se aplica a los contratos u otras relaciones jurídicas entre consumidores, por un lado, y profesionales, negocios o empresas por otro (B2C). No es aplicable a las relaciones B2B (por ejemplo, cuando un supermercado hace un pedido a su proveedor de fruta) o C2C (por ejemplo, si vendo mi bicicleta vieja en eBay).

Entre otros beneficios, según la legislación de protección de los consumidores de la UE, los consumidores tienen un derecho de desistimiento incondicional en el plazo de 14 días (lo que se conoce como período de reflexión o “cooling off”). Esto significa que los consumidores pueden cancelar o desistir de un contrato a distancia (ventas realizadas online, por teléfono, por correo) por cualquier motivo o sin alegar ninguno durante los 14 días posteriores a la recepción del producto (en el caso de bienes).

Cabe destacar que esos 14 días son el mínimo legal. En determinados países, sus normativas nacionales pueden ampliar este período. Además, ciertos vendedores pueden ampliarlo contractualmente.

Este derecho a desistir del contrato no es aplicable en todas las situaciones.

Algunas exenciones comunes son:

  • Entradas para eventos, viajes y reservas de alquiler de coches. En general, cualquier contrato relacionado con actividades de ocio, si se prevé una fecha o período de ejecución concreto;
  • Productos multimedia precintados, como CD, que el destinatario haya abierto;
  • Contenido digital una vez que haya sido descargado por el consumidor;
  • Productos hechos a medida o altamente personalizados (por ejemplo, un vestido a medida);
  • Si se dan ciertas condiciones adicionales, cualquier contrato sobre la prestación de un servicio, etc.

Los consumidores ubicados en la UE también cuentan con la protección de una garantía legal por defecto de 2 años sobre los productos que adquieran, sin coste adicional. De nuevo, la garantía de 2 años es el mínimo legal. En determinados países, las leyes nacionales pueden ampliar este período. Además, ciertos vendedores pueden ampliarlo contractualmente.

Estas normas habitualmente se aplican a cualquier empresa que venda sus productos a residentes en la UE, pero pueden variar de cara a vendedores internacionales, caso por caso. Sin embargo, cabe destacar que, en casos recientes, los tribunales de EE. UU. han decidido aplicar la legislación aplicable de la UE.

¿Cuál es la diferencia entre devolver un producto por desistimiento y devolverlo en virtud de una garantía?

Derecho de desistimientoGarantía legal
Válido durante 14 días desde la recepción del producto o la firma del contratoVálida durante 24 meses desde la recepción del producto
No necesitas tener ninguna razón para ejercer este derecho: simplemente, puedes cambiar de opiniónSolo puedes devolver un producto en virtud de la garantía porque es defectuoso o de alguna otra manera no resulta apto para los fines para los que fue vendido y comprado
Es posible que tengas que asumir los costes de devolución del producto (pero debe especificarse)No se te puede exigir que asumas ningún coste (si el producto es defectuoso es “culpa del vendedor”)
Se aplica con algunas excepciones (algunas de las cuales se han mencionado anteriormente)Siempre se aplica a los productos, pero nunca a los servicios

La legislación de la UE también exige que los vendedores informen a los consumidores sobre la plataforma europea de resolución de litigios en línea (RLL) mediante un enlace directo. La RLL, o “resolución de litigios en línea”, es un procedimiento que permite a los consumidores de la UE presentar reclamaciones de forma sencilla (en lo relativo a ventas online) contra empresas que también estén establecidas en la UE. Esto significa que los requisitos de la RLL también son aplicables a empresas de EE. UU. que tengan algún tipo de presencia física en la UE.

Nota: Tras el Brexit los negocios con base en el Reino Unido y los consumidores situados en el Reino Unido ya no podrán acceder a la plataforma RLL.

En general, los sitios web de propiedad privada (o perfiles privados en redes sociales, blogs, etc.) que solo tengan un fin privado y personal no están sujetos a normativas adicionales. Sin embargo, varias leyes nacionales y de la UE exigen que los operadores comerciales por Internet revelen cierta información.

Para ser considerado “comercial”, no es necesario que “vendas” nada: un sitio web personal fácilmente podría ser considerado comercial si, por ejemplo, genera un tráfico considerable y, por lo tanto, produce un beneficio publicitario significativo (este es el caso, por ejemplo, de los influencers). Sin embargo, si efectivamente “vendes” productos o servicios, se incrementan tus obligaciones informativas.

Si vendes directamente a consumidores (B2C), tendrás que asumir unas obligaciones de información adicionales, incluyendo, entre otras, todas las mencionadas anteriormente, así como incluir un enlace a la plataforma europea de resolución de litigios en línea para consumidores, precisar los tiempos de entrega, ofrecer información sobre tus precios y los impuestos aplicables según lo dispuesto en la Directiva 83/2011/EU, etc.

Correos electrónicos y newsletters

Una dirección de correo electrónico se considera un dato personal. Por lo tanto, la normativa en materia de privacidad entra en juego cuando se tratan direcciones de correo electrónico. Como ya se ha mencionado, según la mayoría de legislaciones estás obligado a proporcionar una información amplia sobre tus actividades de tratamiento de datos, sus fines y los derechos de los usuarios.

En general, estas normas se aplican a cualquier servicio dirigido a los residentes en la región, lo que significa que pueden aplicarse a tu empresa, independientemente de que tenga su sede en dicha región o no. Esto es incluso más relevante si estás utilizando una lista de correo electrónico comprada, ya que en ese caso puede que no conozcas el país de residencia del destinatario.

Por ello, siempre es recomendable que abordes todo lo relativo a tus actividades de tratamiento de datos teniendo en cuenta las normativas más estrictas.

Legislación de EE. UU.

Según la Ley de Control del Asalto de la Pornografía y de la Comercialización No Solicitada (CAN-SPAM) de la Comisión Federal de Comercio (FTC) de EE. UU., no es necesario obtener el consentimiento antes de añadir a los usuarios de EE. UU. a tu lista de correo o enviarles mensajes comerciales. Sin embargo, es obligatorio proporcionar a tus usuarios un mecanismo claro para rechazar cualquier contacto futuro.

Legislación de la UE

Según la legislación de la UE (es decir, el RGPD) es obligatorio obtener el consentimiento informado del usuario antes de suscribirlo a tu servicio. Según la normativa de la UE, adquirir el consentimiento es un procedimiento con dos partes, que incluye informar al usuario y obtener un consentimiento verificable mediante una acción afirmativa.

💡 Puedes encontrar más información sobre los requisitos legales relacionados con las listas de correo electrónico y newsletters aquí.

Menores de edad

Legislación de EE. UU.

La Ley de Protección de la Privacidad de los Menores en Internet (COPPA) es una ley federal de EE. UU. que tiene como objetivo proteger los datos personales y los derechos de los niños menores de 13 años de edad. Según la COPPA, los operadores de sitios web o servicios online que se dirijan a niños menores de 13 años, o que sean conscientes de que están recopilando información personal de niños de esta edad, deben avisar a sus progenitores y obtener su consentimiento verificable antes de recopilar, utilizar o difundir dicha información personal, así como garantizar la seguridad de la información que recogen de los menores.

Tener una política de privacidad conforme a la COPPA es un requisito fundamental de esta ley. Puedes encontrar más información sobre conformidad legal en las siguientes secciones y aprender más sobre la COPPA aquí.

Legislación de la UE

Según el RGPD de la UE, el consentimiento es una de las bases jurídicas para el tratamiento de los datos de los menores. Si utilizas esta base jurídica para el tratamiento de datos personales de niños menores de 13 años, debes obtener un consentimiento verificable de un progenitor o tutor legal, a no ser que el servicio que ofrezcas sea un servicio preventivo o de asesoramiento.

💡 Puedes encontrar más información sobre los requisitos legales en relación a los menores aquí.


Otras consideraciones legales

Establecer términos y condiciones para proteger tu negocio

Aunque, desde un punto de vista jurídico, no siempre es obligatorio tener un documento de Términos y Condiciones (T&C) (también conocido como términos de servicio, contrato de licencia de usuario final o acuerdo de términos de uso) normalmente es necesario por razones prácticas y de seguridad. Este documento te permite regular la relación contractual existente entre tú y tus usuarios y, por lo tanto, resulta esencial, en particular, para establecer los términos de uso y protegerte de posibles responsabilidades.

El documento de términos y condiciones es, esencialmente, un acuerdo legalmente vinculante. Por lo tanto, no solo es importante establecerlo, sino que también es necesario garantizar que cumple con todos los requisitos legales.

En general, se aplicarán las condiciones contractuales estándar. Según la mayoría de legislaciones, los contratos empleados por los comerciantes deben ser justos. Esto significa que el documento debe estar actualizado y al día con todas las normativas aplicables, ser preciso, visible y comprensible, para que todos los usuarios puedan verlo fácilmente y aceptarlo.

La “acción de aceptación” debe ser inequívoca (por ejemplo, hacer clic en una casilla con un enlace visible al documento antes de poder crear una cuenta o utilizar el servicio).

Si bien el contenido completo del documento dependerá de las características de tu empresa, los Términos y Condiciones deberían incluir, como mínimo:

  • La identificación de la empresa
  • La descripción del servicio que ofrece tu sitio web o tu app
  • Información sobre distribución de riesgos, responsabilidad y exenciones de responsabilidad
  • Información sobre la garantía aplicable (en su caso)
  • La existencia del derecho de desistimiento (en su caso)
  • Información de seguridad, incluyendo instrucciones para el uso adecuado del producto o servicio (en su caso)
  • Las condiciones de entrega del producto o servicio
  • Los derechos de uso (en su caso)
  • Las condiciones de usoo de compra (por ejemplo, requisitos de edad, restricciones geográficas)
  • Información relativa a la política de reembolsos, cambios o cese del servicio
  • Información relativa a los métodos de pago
  • Las condiciones adicionales aplicables

💡 Puedes encontrar más información sobre los Términos y Condiciones aquí así como sobre cómo crearlos.


Requisitos de terceros

Las apps y servicios de terceros también tienen que cumplir la ley. Al ser organizaciones, también pueden exponerse a daños reputacionales, así como a multas y sanciones si no cumplen con sus obligaciones legales. Por esta razón, a menudo es obligatorio que todos los socios y clientes que empleen sus servicios cumplan los estándares normativos.

En general, exigen que las organizaciones que utilicen sus servicios dispongan de una política de privacidad conforme a la ley (y una política de cookies si emplean cookies) que informe sobre los datos relevantes de la relación entre ambos y los servicios prestados.

Las apps y servicios de terceros también tienen que cumplir la ley. Por esta razón, a menudo es obligatorio que todos los socios y clientes que empleen sus servicios cumplan los estándares normativos

Un buen ejemplo es Google. Para acceder a ciertos servicios y herramientas (como AdSense, Google Analytics, Google Play Store), Google te exige que dispongas de una política de privacidad completa y actualizada. Aquí tienes un extracto de las condiciones de uso de Google Analytics:

“[El Usuario debe] publicar una Política de Privacidad que avise del uso de cookies para recoger datos de tráfico” y “El Usuario no debe eludir ninguna función de privacidad (p. ej., la opción de darse de baja) que forme parte del Servicio.”

Otro ejemplo es el de Amazon. Aquí tienes un extracto de sus condiciones de uso:

Hemos ampliado el requisito de divulgar nuestra relación de afiliado a cualquier medio en el que puedas aprovechar el contenido de Asociados.

De vez en cuando, los requisitos de terceros pueden cambiar en respuesta a normativas internas o regionales. Por ello, es necesario garantizar que tus políticas cumplen con los requisitos más recientes, con el fin de evitar posibles sanciones o interrupciones del servicio.

💡 Puedes encontrar más información sobre los requisitos de Google aquí y sobre los de Amazon aquí.


Consecuencias del incumplimiento

Las consecuencias legales del incumplimiento incluyen:

Multas

La falta de conformidad con la CalOPPA o la COPPA puede dar lugar a que los funcionarios gubernamentales presenten una demanda o traten de imponerte multas de carácter civil. Por ejemplo, se impuso una multa de 130.000$ a los propietarios del sitio web Imbee por infringir la COPPA al haber permitido que niños menores de 13 años se registraran en su web sin consentimiento de los progenitores o tutores.

Se pueden imponer multas similares en virtud de otras leyes estatales y federales. La falta de conformidad con las exigencias legales del RGPD puede conducir a la imposición de multas de hasta 20 millones de euros o del 4% de la facturación mundial anual (lo que sea mayor).

Medidas disciplinarias

Si se descubre que estás violando alguna normativa, se te pueden imponer una serie de medidas disciplinarias. Estas medidas pueden incluir, entre otras, apercibimientos oficiales (cuando se trate de la primera infracción cometida) y auditorías periódicas de protección de datos. El RGPD otorga a los usuarios un derecho expreso a presentar una reclamación ante una autoridad de control si consideran que alguna de las actividades de tratamiento de sus datos personales se ha llevado a cabo en violación de la normativa vigente.

Así, por ejemplo, si se presenta un informe a la autoridad competente sobre una infracción legal, dicha autoridad puede decidir realizar una auditoría de tus operaciones de tratamiento de datos. Si se descubre que alguna actividad de tratamiento se ha realizado de forma ilícita, no solo se impone una multa, sino que se te puede prohibir volver a utilizar los datos de la consulta. Esto significa que si la infracción cometida estaba relacionada con la recogida de direcciones de correo electrónico, corres el riesgo de que se te prohíba utilizar toda la lista de correo electrónico asociada.

La falta de conformidad con la legislación de protección de los consumidores o sobre competencia (leyes contra la competencia desleal) puede acarrear multas por parte de las autoridades competentes (sobre todo a nivel nacional).

Responsabilidad civil

Es un principio general del Derecho Civil que debes compensar los daños que hayas causado injustamente a otra persona, especialmente si se deben a la violación de un precepto legal. Entre otras leyes, tanto el RGPD como la CalOPPA otorgan a los usuarios individuales el derecho a reclamar una compensación por cualquier tipo de daños que hayan sufrido a causa de una violación de sus derechos. Este mismo razonamiento se aplica a cualquier otra ley, como las disposiciones en materia de protección de los consumidores de la UE.

Recuerda que la responsabilidad civil por daños se aplica a todas las relaciones jurídicas: un socio empresarial puede tener derecho a una compensación si has infringido alguna ley. Por ejemplo, vender productos falsificados a través de una plataforma asociada como Amazon puede hacer que la empresa emprenda acciones legales en tu contra junto con los clientes que hayan comprado los productos falsificados.

Interrupción del servicio y sanciones contractuales

Algunos servicios de terceros (incluyendo marketplaces y tiendas de apps) pueden incluir la conformidad con leyes específicas como parte de sus condiciones de uso: la violación de sus condiciones puede conllevar el cese del servicio o, potencialmente, prohibiciones permanentes.

Aquí tienes un ejemplo de los Términos y Condiciones de la Red de Socios de AWS en relación con el consentimiento:

Para los datos de terceros que proporcione a AWS, usted declara y garantiza que ha recibido todos los consentimientos necesarios para (a) compartir los Datos de Terceros con AWS y sus filiales, y (b) que AWS y sus filiales utilicen estos Datos de Terceros para contactar a su(s) interesado(s) con el fin de comercializar nuestros bienes y servicios y el Programa.

Derecho penal

Por último, pero quizás lo más importante, cuando se reúnen determinadas condiciones, es posible que existan consecuencias legales de carácter penal. Si, por ejemplo, violas o ignoras voluntariamente las normas de protección de datos con fines comerciales (por ejemplo, si vendes los datos personales de un grupo de personas sin decírselo) puedes enfrentarte a graves consecuencias. Sin embargo, el Derecho penal es en gran medida una cuestión que se dirime a nivel nacional: las condiciones y consecuencias deben comprobarse caso por caso.


Cómo te puede ayudar iubenda con la conformidad legal

Creemos en la importancia de adoptar un enfoque integral para el cumplimiento de las leyes de protección de datos. Por ello, nos mantenemos al día sobre las principales legislaciones y diseñamos soluciones teniendo en cuenta las normativas más estrictas, ofreciéndote todas las opciones necesarias para personalizarlas según tus necesidades.

De esta forma, puedes asegurarte de que cumples con todas tus obligaciones legales (con independencia del lugar en el que se encuentren tus clientes), reduciendo el riesgo de litigios y protegiendo a tus clientes, lo que genera confianza y credibilidad.

Nos mantenemos al día sobre las principales legislaciones y diseñamos soluciones teniendo en cuenta las normativas más estrictas

Estos son los elementos básicos que necesitas para lograr una conformidad legal plena:

Informar a los usuarios sobre el tratamiento de sus datos personales mediante una política de privacidad

Tal y como se ha mencionado anteriormente, debes informar a tus usuarios sobre cómo utilizas sus datos personales. En consecuencia, tener una política de privacidad es un requisito legal en casi todos los lugares del mundo. Este documento jurídico debe indicar la forma en la que tu sitio web o tu app recoge, trata, almacena, comparte y protege los datos de los usuarios, así como los fines con que lo haces y los derechos de los usuarios en relación con sus datos personales.

Nuestro Generador de Políticas de Privacidad es asequible, está disponible en varios idiomas, ha sido redactado por abogados, es personalizable y se actualiza automáticamente (ya que nuestros abogados lo supervisan de forma remota). Te permite crear de forma sencilla una política de privacidad visualmente impecable y precisa e integrarla a la perfección con tu sitio web o tu app. Sencillamente puedes añadir cualquiera de nuestras cláusulas ya creadas con tan solo pulsar un botón o redactar tu propia cláusula personalizada.

La política de privacidad también incluye la opción de añadir una política de cookies (es necesario incluirla si tu sitio web o app utiliza cookies). Las políticas son personalizables según tus necesidades y nuestro equipo jurídico las mantiene al día de forma remota.

💡 Para más información sobre cómo generar tu política de privacidad, haz clic aquí

Cumplir con la Ley de Cookies de la UE

Como el uso de cookies puede implicar tanto el tratamiento de datos de los usuarios como la instalación de archivos en sus dispositivos para seguimiento, estas herramientas son una gran fuente de preocupación en lo que respecta a los derechos de privacidad de datos de los usuarios. Por ello, si operas dentro de la UE o si es posible que tengas usuarios en la UE, debes cumplir con la Ley de Cookies.

Se divide en 4 partes:

  1. Política de cookies, que puedes encontrar incluida como una opción en el generador de políticas de privacidad mencionado anteriormente.
  2. Banner de cookies, que puedes conseguir con la Privacy Controls and Cookie Solution de iubenda.
  3. Facilitar el consentimiento, ofreciendo al usuario la información necesaria y la opción de otorgar, rechazar o retirar su consentimiento.
  4. Bloquear preventivamente (bloqueo previo) los scripts de instalación de cookies antes de obtener el consentimiento del usuario.

Privacy Controls and Cookie Solution cumple con lo dispuesto en la Directiva ePrivacy (Ley de Cookies). Te permite informar fácilmente a tus usuarios y obtener su consentimiento, dándote al mismo tiempo la opción de bloquear preventivamente cualquier script que instale cookies antes de obtener el consentimiento del usuario (lo que es un requisito en muchos países de la UE). Es fácil de utilizar, rápida y no requiere grandes inversiones.

→ Participa en uno de nuestros webinars gratuitos, resuelve tus dudas en directo y consigue más información sobre nuestro Generador de Políticas de Privacidad y Cookies y Privacy Controls and Cookie Solution.

💡 Para obtener más información sobre nuestro servicio Privacy Controls and Cookie Solution, haz clic aquí.

Protege a tu empresa con un documento de Términos y Condiciones adecuado

Aunque no siempre es obligatorio desde un punto de vista legal, en la práctica siempre es necesario tener un documento de términos y condiciones. Regula la relación contractual existente entre tú y tus usuarios y establece de forma legalmente vinculante la manera en que se puede utilizar tu producto, servicio o contenido.

Por ello, es vital que este contrato sea preciso y esté siempre actualizado y al día con todas las normas aplicables. Debería incluir las condiciones generales de uso de tu servicio, prestando especial atención a las cláusulas de limitación de responsabilidad y a las exenciones de responsabilidad.

Nuestro Generador de Términos y Condiciones te permite crear y gestionar fácilmente un documento de términos y condiciones profesional, personalizable gracias a más de 100 cláusulas, disponible en 14 idiomas, diseñado por un equipo jurídico internacional y al día con las principales legislaciones internacionales.

Es potente, preciso y capaz de resolver incluso las situaciones más complejas, así como de adaptarse a las necesidades más diversas.

Incluye:

  • configuración guiada;
  • cientos de opciones de personalización posibles;
  • supervisión de la legislación;
  • formas de integración “plug-and-go” para plataformas de tiendas populares como Shopify y WooCommerce;
  • supuestos predefinidos: módulos de texto para marketplace, programas de afiliados, derechos de autor, comercio electrónico, dispositivos móviles y mucho más.

Nuestra solución está optimizada para todo tipo de supuestos, desde comercio electrónico, blogs y apps a situaciones más complejas como marketplace y SaaS.

Empezar es muy sencillo. Solo tienes que activar los Términos y Condiciones (utiliza 1 Licencia Ultra) en tu dashboard y puedes empezar a generar tu documento.

💡 Para descubrir todas las funciones de nuestro Generador de Términos y Condiciones, haz clic aquí o consulta nuestra guía aquí.

Gestionar y registrar detalladamente el consentimiento

Para cumplir con las leyes de privacidad, especialmente con el RGPD, las empresas deben almacenar una prueba del consentimiento para poder demostrar que este se obtuvo efectivamente.

Este registro debe mostrar:

  • cuándo se prestó el consentimiento;
  • quién prestó el consentimiento;
  • cuáles fueron las preferencias del usuario en el momento de la obtención;
  • qué aviso legal o de privacidad se le presentó en el momento de la obtención del consentimiento;
  • qué formulario de obtención del consentimiento se le presentó en el momento de la recogida.

Nuestra Consent Database simplifica este proceso, ayudándote a almacenar fácilmente la prueba del consentimiento y a gestionar el consentimiento y las preferencias de privacidad de cada uno de tus usuarios. Te permite rastrear todos los aspectos del consentimiento (incluyendo el aviso legal o de privacidad y el formulario de consentimiento presentado al usuario en el momento de la obtención del consentimiento), así como las preferencias expresadas por el usuario.

Para utilizarla, simplemente activa la Consent Database y obtén la clave API. Después, instala la solución a través de la API HTTP o el widget JS. Eso es todo, ahora podrás recuperar los consentimientos en cualquier momento y mantenerlos actualizados.

💡 Para descubrir todas las funciones de nuestra Consent Database, haz clic aquí o consulta nuestra guía aquí.

Registro de las actividades de tratamiento

Cumplir las normas del RGPD en la práctica puede suponer todo un desafío técnico. Esto es especialmente cierto en cuanto a la gestión de la privacidad interna. Para cumplir con la ley, debes ser capaz de realizar un seguimiento y describir:

  • qué datos recopilas;
  • para qué fines se recopilan;
  • las bases jurídicas del tratamiento;
  • la política de conservación de datos para cada actividad de tratamiento;
  • las partes implicadas (tanto dentro como fuera de tu organización);
  • las medidas de seguridad;
  • las transferencias de datos fuera de la UE, si las hubiera; y
  • otros detalles que puedan aplicarse a toda la empresa, incluyendo los datos de los empleados.

Nuestra solución te ayuda a registrar y gestionar fácilmente todas las actividades de tratamiento de datos dentro de tu organización, para que puedas cumplir de forma sencilla con los requisitos del RGPD y con tus obligaciones legales.

Te permite crear un registro de tus actividades de tratamiento de datos:

  • añade actividades de tratamiento de entre nuestras más de 1.600 opciones preconfiguradas;
  • divídelas por áreas (subdivisiones en las que las actividades de tratamiento de datos son las mismas);
  • nombra encargados del tratamiento y otros cargos; y
  • documenta las bases jurídicas y otros registros exigidos por el RGPD.

Importante: aunque tus actividades de tratamiento de datos no se incluyan en ninguna de las situaciones mencionadas anteriormente en esta guía, tu deber de informar a los usuarios (artículos 13 y 14) te obliga a mantener un registro básico con los datos que recopilas, sus fines, todas las partes implicadas en el tratamiento de los mismos y el plazo de conservación de los datos, lo que es obligatorio para todos.

Además, aunque el RGPD es una razón muy común para esmerarse en la gestión de la privacidad interna, nuestra herramienta no está diseñada exclusivamente para su aplicación bajo el RGPD. También se puede utilizar para la gestión de la privacidad interna en general, incluso por empresas que no tienen ningún usuario o cliente en la UE.

→ Participa en uno de nuestros webinars gratuitos (en inglés), resuelve tus dudas en directo y consigue más información sobre nuestra Consent Database y nuestro Registro de las actividades de tratamiento.

Nota: ten en cuenta que, de vez en cuando, las leyes se modifican y actualizan. Por ello, es importante que te asegures de que tus políticas cumplen con los requisitos más recientes. Por esta razón, utilizamos una función de integración y NO un simple copiar y pegar. Con este método, puedes estar seguro de que tu política está actualizada ya que nuestro equipo jurídico la mantiene al día de forma remota.

Más información