Unidad 7 - Legislación

La LSSI (Ley 34/2002) (Ley de Servicios de la Sociedad de la
Información y de Comercio Electrónico) se creó con el
objeto de regular las actividades económicas realizadas a
través de internet ya sea a través de tiendas web online,
redes sociales o correo electrónico.
● Se redactó con el propósito de incentivar el comercio
electrónico y la libre competencia en él, mientras se le
dotaba de un marco legal al que pudieran atenerse tanto los
prestatarios del servicio como los clientes.

2.1 A quien Afecta?

La LSSI afecta a cualquier persona física o jurídica que lleve
a cabo alguna actividad económica a través de internet
tanto de forma directa (la venta de un producto o la
prestación de un servicio) como indirecta (publicidad),
siempre que la gestión del negocio se realice desde España,
posea alguna sucursal dentro del territorio nacional o la
mayor parte de sus operaciones se realicen en España.

2.2 ¿A qué obliga a las empresas

El que vende u ofrece servicios en internet debe dar
información sobre:
○ Quién es (nombre, dirección, teléfono, etc.)
○ Cómo funciona su servicio (reglas y condiciones)
○ El producto o servicio que ofrece (precio, características,
etc.)
○ Cómo se puede comprar o contratar (forma de pago,
devoluciones, etc.)
● Esta información suele estar en secciones como "Quiénes
somos" o "Aviso legal" en la página web.

2.3 ¿Y a los que muestran publicidad?

La LSSI también regula las comunicaciones comerciales que
mediante canales electrónicos (email, pero también otros
como el SMS) puede llevar a cabo el vendedor (o prestador
de servicio) con sus clientes.
● A este respecto se exige siempre que el consentimiento para
la recepción de esa publicidad sea expreso y que sea posible
siempre revocar tal consentimiento de forma telemática y sin
coste.
○ Consentimiento expreso: el checkbox debe aparecer
vacío y nosotros marcarlo.

Por otro lado, la publicidad recibida por el potencial cliente
debe ser clara lo cual supone incluir inequívocamente la
identidad del anunciante y, en caso de tratarse de una
promoción, el carácter promocional de ésta y cuáles son las
condiciones.
● Si no se dan estos requisitos la comunicación podrá
considerarse spam y el anunciante podrá recibir sanciones
como consecuencia de su infracción.

2.4 ¿Necesito permiso para vender por internet?

No necesitas permiso especial para vender productos o
ofrecer servicios en internet, a menos que se trate de algo
que requiere una licencia o autorización especial, como ser
médico, vender medicamentos u ofrecer servicios de
internet.

En España el derecho a preservar la intimidad personal está
garantizado por el artículo 18 de la Constitución, en cuyo
párrafo cuarto cita expresamente el uso ilimitado de la
informática como posible agente que socave tal intimidad.

Además del artículo de la constitución debemos tener en
cuenta la RGPD europea y la LOPDGDD.
● La RGPD (Reglamento General de Protección de Datos) es un
reglamento de la Unión Europea que tiene como objetivo
proteger los derechos y libertades de las personas físicas en
relación con el tratamiento de sus datos personales.

● La LOPDGDD (Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales) es una ley
española que regula la protección de datos personales y
garantiza los derechos digitales de los ciudadanos.
● Estas leyes regulan cómo deben tratarse los datos
personales y cómo debe llevarse a cabo cualquier
transferencia de este tipo de datos.

1. Que es un dato persona?

● Un dato personal es cualquier información que se refiere a
una persona física identificada o identificable. Esto incluye
cualquier información que pueda ser utilizada para
identificar, contactar o localizar a una persona, así como
cualquier información que se refiere a la persona en
particular.

● ¿Es mi IP, por tanto un dato personal? Si.
● Y la matrícula de mi coche, ¿es un dato personal? Tambien
● ¿Y mi dirección de correo personal? Si ¿Y el de la empresa? No
● ¿Y una cookie de mi ordenador? depende

1.2 ¿Quiénes tienen datos personales?

Los datos personales son cualquier información relativa a
una persona física identificada o identificable. Las distintas
informaciones, que recopiladas pueden llevar a la
identificación de una determinada persona.
● ¿Tienen datos personales los perros? No. No es una persona
física. Salvo que los datos de dicho animal permitan
identificar al dueño.topic

¿Tiene datos personales una empresa? No, la ley solo
reconoce los datos de las personas físicas, no de las
personas jurídicas (empresa).
● ¿Tiene datos personales una persona fallecida? No, los
derechos reconocidos en la ley, se extinguen con la muerte
de la persona. Sin embargo, los herederos o sucesores de la
persona fallecida pueden ejercer los derechos que la ley
reconoce a los titulares de los datos personales, siempre que
lo hagan en interés de la persona fallecida o de sus
herederos.

1.3 ¿Qué datos son especialmente sensibles?

Estos datos especialmente sensibles son:
○ Origen racial o étnico.
○ La ideología política.
○ La afiliación sindical.
○ Las creencias religiosas.
○ La orientación sexual.
○ Los datos relativos a la salud.
○ Los datos genéticos o biométricos que identifiquen
inequívocamente al individuo.

1.4 ¿Qué realizan las empresas?

¿Qué es el tratamiento de datos?

○ Cualquier operación sobre los datos, automatizada o no.

Recopilación, registro, organización, estructuración,

almacenamiento, modificación, extracción, consulta, uso,

comunicación, difusión, comparación, limitación,

supresión o destrucción.

¿Qué es un fichero de datos personales?

○ Cualquier conjunto estructurado de datos personales

accesible bajo determinados criterios. Una mera agenda

manuscrita que incluya teléfonos y direcciones cumple

con la definición.

1.5 ¿Qué figuras participan en un tratamiento?

Titular de los datos personales: al que en muchas ocasiones
referiremos como cedente, ya que es el que cede sus datos
personales para su tratamiento.
● Responsable del tratamiento: que es la empresa y
organización a la que el propietario cede sus datos.
● Encargado del tratamiento: que es un tercero al que la
empresa se ve en la necesidad de ceder los datos
personales por algún motivo como puede ser un servicio. Un
ejemplo muy típico de encargado es la gestoría externa que
lleva las nóminas de los trabajadores de una empresa.

¿Qué otras figuras son relevantes?

3.6 ¿Qué otras figuras son relevantes?
14
● Delegado de protección de datos (DPD), que es la persona
encargada de supervisar el cumplimiento de la normativa de
protección de datos, asesorar al responsable sobre todos los
aspectos relacionados con ella y actuar de intermediario en
caso de inspección de la AEPD. Esta figura no es obligatoria
en todos los casos.
● Agencia española de protección de datos (AEPD):
organismo público independiente encargado de velar por el
cumplimiento de la normativa relativa a la protección de
datos y que tiene la potestad de actuar de oficio e imponer
sanciones.

¿Qué derechos tenemos?

Derechos ARCO:
○ Acceso: Obtener información de sus propios datos.
○ Rectificación: Tener la posibilidad de modificar sus
datos.
○ Cancelación: Suprimir los datos que se estime
oportunos, lo cual incluye a su vez el derecho de
supresión, esto es, el derecho a revocar nuestro
consentimiento; y el derecho al olvido, esto es, el derecho
a que tales datos no sean localizables en Internet.
○ Oposición: Oponerse a que sus datos sean tratados en
diversos supuestos (p.e. porque no haya dado
consentimiento para ello).

Derechos extras:
○ Limitación: Limitar el tratamiento de los datos
personales a unos supuestos concretos. Esta limitación
puede invocarse en determinadas circunstancias como,
por ejemplo, cuando los datos no puedan borrarse por
motivos jurídicos (p.e. cuentas bancarias).
○ Portabilidad: Permitir la transmisión automatizada de los
datos personales al propio titular o a otro responsable
del tratamiento. Este derecho facilita al interesado poder
cambiar de prestador de un servicio fácilmente (p.e. un
servicio de telefonía).

¿Qué obligaciones tiene la empresa?

Información: Se debe informar por escrito al cliente antes de
que este haya efectuado el consentimiento de:
○ Quiénes somos.
○ Por qué y para qué se solicitan los datos.
○ Quién podrá acceder a ellos.
○ Plazo durante el que se conservan.
○ Si se transferirán a otros países.
○ Qué derechos asisten al cedente (derechos ARCO).

Consentimiento explícito: Es preciso obtener del cedente un
consentimiento que debe ser libre, informado, específico e
inequívoco. El consentimiento no implica sólo que el cliente
acepte que se recaben sus datos, sino también que acepte
con qué finalidad se recaban. Es más, si la finalidad es
múltiple, se deben obtener consentimientos para cada una
de ellas y, además, el consentimiento debe ser activo, esto
es, no puede haber casillas premarcadas.

Confidencialidad: La empresa u organización debe
garantizar la estricta confidencialidad de los datos
personales que se le han cedido. por lo que se le exige:
■ Evitar el acceso a personal no autorizado.
■ Firmar contratos de confidencialidad con aquellos
que tengan acceso.
● Análisis de riesgos y evaluación de impacto, y a partir del
riesgo, definir las medidas técnicas y organizativas
apropiadas.

Notificación de brechas de seguridad: Las empresas se
obligan a informar a la AEPD en un plazo máximo de 72
horas de brechas de seguridad que hayan podido
comprometer los datos personales de sus clientes.
● Registro: registro de actividades donde se incluyan los tipos
de datos que se recogen, con qué finalidad, dónde se
guardan, si se ceden a terceros y qué medios se utilizan para
tratarlos.

¿Qué sanciones hay?

El incumplimiento de la normativa de protección de datos
conlleva unas multas cuya cuantía depende de la gravedad
de la infracción:
○ Infracciones muy graves.
○ Infracciones graves.
○ Infracciones leves