Cómo hacer que tu web cumpla la LOPD sin morir en el intento

scroll

Enfrentándose a la LOPDUna tragicomedia en 3 actos y epílogo.

Hace algunos días, se lanzó la launch page de Minchador, el proyecto personal de mi amigo Dani Latorre, al que acusé de usar una foto en baja resolución más fea que pegar a un padre.

Como buen aragonés, en vez de reconocer que tiene aún menos gusto que vergüenza, me lanzó un órdago baturro al que mi honor gallego me obligó a enfrentarme y me puse a crear una página de lanzamiento para el primer y esperadísimo proyecto de Funius.

Una launch page, coming soon page o, simplemente, página de lanzamiento no deja de ser una estrategia de marketing. Una máquina de generar hype, con la que empezar a construir una audiencia para tu producto. Y eso implica… recoger datos personales.

Acto 1: Con la LOPD hemos topado

Normalmente tengo menos luces que el coche de los Picapiedra, pero, en esta ocasión y puestos en faena, se me encendió una bombilla y me planteé que, por muy launch page que fuera, no dejaba de ser una web en toda regla y, como tal, debía cumplir la legislación española.

Y la legislación española dice, entre otras cosas, que DA IGUAL si tu web ofrece cojoservicios SaaS de cloud computing por un pastizal o es un simple un blog: si recoges datos personales de tus usuarios o clientes, estás obligado a cumplir la LOPD o Ley Orgánica de Protección de Datos.

Supongo que ahora mismo estarás rascándote la cabeza como un mandril perplejo y preguntándote si tú recoges y usas datos personales. No te preocupes, Toribio, ya te ayudo yo: algunos jueces consideran el correo electrónico como un dato personal. Así que, algo tan inocente como una página de lanzamiento o una fantabulosa lista de correo, DEBEN cumplir la LOPD.

La cuestión no es una tontería. El incumplimiento de la LOPD puede acarrear sanciones que van desde los 600€ hasta… 600.000€ ¡Matamecamión!

Acto 2: ¿Qué carallo es eso de la LOPD?

Ahora mismo, el pobre Dani Latorre debe de tener palpitaciones anales. ¡No te preocupes, Dani! No es para tanto. En realidad, los multones más altos son para aquellos casos en los que están involucrados datos especialmente protegidos, que sólo querría utilizar una mente enferma -o una compañía yankee-, como la raza o religión de tus usuarios.

En cualquier caso, las sanciones leves se castigan con multas entre los 600 y los 60.000€, capaces de hacerle un roto hasta a una megastar como Latorre, así que parece una buena idea informarse de qué carallo es eso de la LOPD.

Da igual que los servicios que ofrezcas sean gratuitos. Debes cumplir la LOPD

Sin ánimo de ser exhaustivo ni de convertir este artículo en un referente jurídico, sino de intentar traducir la ley del klingon al castellano, la LOPD dice que, en el caso de que guardes datos personales, estás obligado a:

  • Informar a tus usuarios de qué datos personales estás recogiendo, cómo vas a utilizarlos y obtener su consentimiento para hacerlo. Una vez más, para el 99% de las webs -las que sólo recogen los datos más básicos, como el nombre y el correo electrónico- con un consentimiento tácito es suficiente (Ej. “El registro en esta web implica la aceptación de su Política de Privacidad“). Además, debes proporcionar un método para que dichos usuarios puedan consultar, modificar o dar de baja sus datos.
  • Implementar las medidas de seguridad oportunas para proteger los datos. El nivel básico de seguridad, nos obliga a:
    • Garantizar que no dejaremos que cualquier tuercebotas acceda a los datos, mediante una contraseña
    • Hacer un copia de seguridad de los datos con carácter semanal
    • Cambiar la contraseña de acceso al menos una vez al año
    • Escribir un ladrillo en forma de documento que explique nuestra “política de seguridad” (quién tiene permisos de acceso, qué base de datos se utiliza, etc…)
  • Registrar el fichero de datos en la AEPD, Agencia Española de Protección de Datos. Donde podéis identificar el “fichero como el conjunto de tablas de base de datos, ficheros de texto, Excel, libro de registro o pergamino escrito con sangre de un mapache virgen donde guardéis los malditos datos personales.

Acto 3: ¿Cómo cumplo eso?

Los dos primeros puntos puedes cumplirlos desde tu cubil. Es decir, sin tener que perder años de vida interactuando con la Administración, pero lo de “registrar un fichero” suena a citas previas, largas colas y el “Vuelva usted mañana” de Larra.

En realidad, podemos registrar online el “fichero. Eso sí, sólo en caso de que dispongamos de certificado digital y utilizando la sofisticadísima tecnología de la AEPD: el sistema NOTA, que no es ni más ni menos que… un formulario PDF interactivo.

Así que, en el caso de que no lo tengas instalado -como le pasará al 98,73% de los usuarios de Mac-, si quieres utilizar el sistema NOTA, tendrás que instalarte el software Acrobat Reader. Y ahí comienza la fiesta.

Prepárate para deslizarte por una montaña rusa de emociones y diversión, donde encontrarás campos como el de “Finalidad del fichero”, con opciones intuitivas a la par de elegantes como “PRESTACIÓN DE SERVICIOS DE COMUNICACIÓN ELECTRÓNICA”. Dificultad extra si encima tienes que definir qué servicios delegas en terceros. Por ejemplo, cuando tu lista de correo la gestionas desde Mailchimp.

Si consigues rellenar el formulario por completo, antes de enviarlo tendrás que firmarlo electrónicamente con tu certificado digital. Copio una captura:

Firma Digital de presentación de fichero para la LOPD

En mi caso, el proceso de firmado fue como la seda… con el certificado digital de empresa (Bonillaware es una S.L.U.) y una vez que conseguí instalarlo en el Mac. No tengo ni idea de si esto mismo funcionará con certificados digitales personales como los que se usan para presentar la Declaración de la Renta.

Epílogo: yo no lloro, pero me desespero

Una vez finalizada y firmada la solicitud, tendrás un PDF que podrás guardar: una “Solicitud de Inscripción”. De hecho, será el único PDF que, oficialmente, podrás guardar.

Solicitud de inscripción de fichero para la LOPDEl problema con este PDF es que, en el caso de que tengas problemas, no vale absolutamente para nada, porque no guarda ninguna prueba documental de que hayas enviado absolutamente NADA.

Lo que sí vale como prueba son los datos de registro de entrada que aparecen en el formulario interactivo PDF una vez que lo envías a la AEPD. Datos que, por supuesto, no puedes guardar ni exportar como PDF normal -¿para qué ponérselo fácil a la gente?- sólo imprimir. Así que, la única forma que conseguí para guardar digitalmente mi solicitud fue muy de hacker de nivel 52 o superior: imprimir y escanear la solicitud con los datos de registro de entrada. Copio una captura para que sepáis lo que debéis guardar:

Datos de inscripción de la LOPD

… y una vez que tienes tu fichero registrado ¿Qué crees que se le puede ocurrir a un hombre de bien? Pues comprobar que todo ha finalizado correctamente. Por eso, te vas al buscador de ficheros registrados de la AEPD, te buscas a ti mismo y encuentras… CERO, NADA, AGUJERO NEGRO, CAOS Y DESTRUCCIÓN.

Así que, te preguntas si has hecho algo mal y, por supuesto, llamas al teléfono de información la AEPD donde te informan de que eres un pailán, un optimista y que tu fichero tardará alrededor de un mes en aparecer en su web.

Por supuesto, pregunté si había alguna manera de saber antes de ese mes si el registro había finalizado con éxito y -sorpresa- la respuesta fue NO.

También pregunté si podría lanzar la web que usaba dicho fichero antes de ese mes y la respuesta fue que NO DEBERÍA. Así que, en teoría, se deben registrar los ficheros con un mes o más de antelación antes de que lancéis vuestra “aplicación”, aunque esta sea un truño tan grande como una página de lanzamiento.

¡Un mes! Y eso que la presenté telemáticamente. Si llego a hacerlo presencialmente, a lo mejor tengo que esperar a la próxima legislatura.

La conclusión a la que he llegado es que, el 90% de las webs españolas no cumplen la LOPD y que, al 99,999% de los usuarios no les importa un pimiento. La Ley es confusa y su cumplimiento y seguimiento difícil. Me dejo MUCHAS cosas en el tintero y vamos por las 1.400 palabras… Eso sí, si quieres dormir tranquilo y cumplir con la legalidad, aquí tienes algunas pistas sobre como empezar. Mucha suerte a todos…