[SOLUCIONADO] web que no usa publicidad ni cookies

Hola a todos,

En primero lugar me gustaría felicitaros por este foro del que he aprendido mucho últimamente aunque sin animarme a escribir hasta ahora..

Estoy haciendo una página web y he decidido de momento no poner publicidad, ni enlaces a redes sociales, por el tema de la ley de cookies y la LOPD.

Según me he estado informando, al parecer ya que la web no tiene (al menos de momento) finalidad económica, me ahorro tener que poner mis datos personales de contacto y dar de alta el fichero de protección de datos. No utilizo formularios ni mail de contacto.

Mi duda es si debería informar al usuario de que se guarda un LOG en el servidor con la ip del usuario, navegador utilizado..etc.

¿Ese fichero es responsabilidad mía y debo darlo de alta?

¿Tendría que informar a los usuarios de sus derechos ARCO (acceso, rectificación, cancelación y oposición) sobre dicha información?

Me extrañaría que un usuario pudiera cancelar los datos de registro de su ip en el servidor de la web que visita...

Por si sirve de algo estoy usando Hostgator para el tema del hosting, pero no veo nada acerca de "tratamiento de datos" o "documento de seguridad" entre sus textos legales.


Creo que me volveré loca con tanta ley...


Muchas gracias de antemano

A ver, por partes y sin mezclar.

La LSSICE efectivamente obliga a poner los datos del titular de la página públicamente en la web SIEMPRE que se efectue intercambio economico (que no es solo una venta, también obtener beneficios por la publicidad gracias a esa visita basta). Y aquí hay un pequeño vacío, en ningún sitio indica que como no hay publicidad no debes de facilitar esos datos, de hecho en principio si los debes de facilitar (aunque con el WHOIS es suficiente, no necesitas publicarlo en tu página como indica la LSSICE).

La ley de cookies originariamente obliga al visitante a aceptar las cookies que cada sitio guarda. Luego se aceptó el consentimiento implicito (que no lo tenga que aceptar expresamente, si no que con navegar e informar ya lo acepta), pero esto legalmente tampoco está muy claro de que sea así la ley lo que dice puramente es que el visitante debe de aceptarlas. Si no guardas cookies no debes de informar de nada. Pero ¡OJO! las cookies no solo las insertan las redes sociales, también las herramientas de medición como Google Analytics o si usas algún CMS estos también inyectan cookies, por lo cual debes de estar seguro de que no ofreces cookies (un desarrollo propio y ninguna herramienta ni script externo). Si no, debes de insertar la típica parrafada y el aviso.

La LOPD es la ley que vela por los datos personales en España (y en Europa) y vela por los datos de CARACTER PERSONAL, o dicho de otro modo datos que PUEDAN identificar a una persona. Una dirección IP por si sola NO puede identificar a ninguna persona, tu con una dirección IP es imposible que sepas que nombres y apellidos están detrás de esa dirección por lo que ni la dirección IP, ni el navegador, ni el S.O., ni cualquier dato "general" entran dentro de la LOPD. ¿Que datos si entran? Los típicos: Nombre, Apellidos, nick (no en todos los casos, siempre que sea "identificable"), correo electrónico, dirección, NIF, fotografía, avatar (al igual que el nick), rasgos físicos únicos (tatuajes, marcas de nacimiento, etc.) y en definitiva cualquier cosa con la que TÚ puedas identificar a una persona y saber quien es. Si no tienes ningún formulario en la que no pides ningún dato (el típico formulario de contacto), no tienes comentarios, no tienes ningún sistema de registro y en definitiva no recalcas datos de caracter personal no tienes porque inscribir tu fichero dentro de la AGPD puesto que no recopilas información personal.

Resumiendo:
· La LSSICE en tu caso con el WHOIS es suficiente.
· Las cookies si estás completamente seguro de que no tienes cookies (revisa bien esto porque cualquier desarrollo externo hoy en día incluye cookies) no tienes porque informar de nada.
· La LOPD no tendrás problemas. Ni la dirección IP, ni el navegador, ni el S.O. ni cualquier dato de caracter "general" está contemplado dentro de la ley.

Gracias franciscomarin, y perdona que sea tan paranoica pero me surgen algunas dudas:

Actualmente tengo el "WHOIS privacy" activado, ya que no realizo ninguna actividad económica, ¿hay alguna ley que me impida ésto? Imagino que si las autoridades requieren contactar conmigo se pondrán en contacto con la empresa donde adquirí el dominio o con mi empresa de hosting, por favor corrígeme si me equivoco.

He encontrado[url=http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2003-0327_Car-aa-cter-de-dato-personal-de-la-direcci-oo-n-IP.pdf]este enlace[/url] de la AGPD en el que parece que consideran la IP como dato de carácter personal, aunque en el último párrafo del documento comentan ésto:



"En cuanto a la consideración de los "log-in" de acceso a Internet o a páginas
personales como datos de carácter personal, resultarán de aplicación las
consideraciones que se realizan en párrafos anteriores. Si identifica de forma
directa al usuario, no hay duda de que estaremos ante un dato de carácter
personal, por el contrario si este es anónimo, en principio no sería un dato de
carácter personal, pero si, por ejemplo, el proveedor de servicios de Internet a
través de ese "log in", puede identificar al usuario con el que tiene un contrato
de acceso a Internet, sí será considerado como un dato de carácter personal. "

Yo interpreto que en todo caso la responsabilidad de dichos "log in" recaería en el proveedor de acceso a internet, que es el que tiene la capacidad de identificar al usuario, pero claro, en base a los párrafos anteriores no me queda muy claro que no sea yo la responsable...

Respecto al tema de las cookies decidí quitarlo todo de momento: redes sociales, analytics y adsense, ya que ni siquera los responsables (Google/Facebook) informan correctamente ni definen exactamente qué cookies utilizan, cuando la salvaje ley dice que se debe informar de qué hace cada cookie (algo técnicamente imposible para nosotros). ¿Bastaría entonces con identificar las cookies y enlazar a la política de cookies de Google/Facebook en la descripción de las mismas?

Y eso por no hablar de "otros dispositivos de almacenamiento" como el "almacenamiento local" (técnicamente en la ley se habla de cualquier "dispositivo de almacenamiento" no de cookies), que se utiliza sin posibilidad de control... Por citar un ejemplo, estuve utilizando videos incrustados de youtube en una parte de mi web usando el método de "privacidad mejorada" mediante "youtube-nocookie.com"... daba igual, al abrir la página en la que estaban los videos incrustados se instalaban 4 o 5 de estos "dispositivos de almacenamiento local" alternativos, asi que al final decidí poner una imágen con un enlace incrustado que daba al vídeo...

Supongo que no podrán responsabilizarme por las cookies y similares que se instalen al hacer click en un link externo, corrígeme si me equivoco, pero es que esta ley me parece una burrada...

Referente a la dirección IP...

Como tu bien comentas en el último párrafo la dirección IP no se considera un dato de caracter personal en el caso de los logs:
Con un simple log es imposible que tu puedas identificar a nadie (salvo que recabes otros datos, que no haces).

Referente a la ley de cookies en principio tienes que informar que cookies guardas y efectivamente debes de enlazar hacia la política de cookies de cada proveedor o empresa que utilices en tu sitio y guarden cookies.

Cuando una persona hace click en tu página y se va a otra página es responsabilidad de la otra página cumplir con la ley, tu allí ya no puedes hacer nada ni tienes ninguna responsabilidad.

De todos modos recuerda que lo mejor si tienes alguna duda es que contactes con un abogado especialista o entendido del tema (no todos saben de que va este rollo).

Muchas gracias franciscomarin,

me siento mucho más tranquila... a lo mejor me lanzo y todo y vuelvo a poner el botón de Facebook... es que era empezar a leer la ley y empezar a alucinar... pero al intentar explicar qué hacía cada cookie el "alucine" iba en aumento...

Creo que seguiré tu consejo, identificaré las cookies y pondré un enlace a la política de privacidad/cookies de cada empresa...


Un saludo y gracias!

En mi opinión no hay que avanzar con tantas precauciones en este tema. Si hablas de una empresa, con el apartado de Política de Privacidad y tal vez sin la aceptación de cookies podrías estar online sin problemas. Ni hablar si no es un dominio .es y el hosting está fuera de España. Por experiencia el estado revisa webs con bastante historia, alto tráfico, marcas conocidas y los pocos recursos que existen los dedican a otras áreas. Hasta ahora no recuerdo algún caso de penalización a webs del tipo que creo describes.