La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) tiene como objeto la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica.

Entre otras cuestiones obliga a poner a disposición de los destinatarios del servicio y de los órganos competentes en todo sitio en internet (salvo aquellos que se limiten exclusivamente al ámbito doméstico o de actividades personales no económicas) de un mínimo de información de forma permanente, fácil, directa y gratuita.

Esta información suele incluirse bajo el título “Aviso Legal” y ha de incluír los siguientes elementos:

• Una clara identificación del o los responsables del sitio: nombre o denominación social, residencia o domicilio, dirección de correo electrónico y cualquier otro dato que permita establecer una comunicación directa y efectiva.
• El dominio o dominios utilizados.
• En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
• Si ejerce una profesión regulada deberá indicar los datos del Colegio profesional al que se pertenezca y número de colegiado, el título académico oficial o profesional con el que cuente y las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
• El número de identificación fiscal que le corresponda.
• Información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.
• Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

A partir de esta información legal, hay dos cosas importantes que debe saber una pyme, puesto que son errores que se ven con frecuencia en internet:

• Si bien el asunto no es tan complejo como para necesitar el asesoramiento de un abogado (salvo casos muy específicos o que la empresa tenga ya contratado algún servicio de asesoramiento legal), tampoco es conveniente dejarlo en manos del informático o de la empresa que nos diseña una web. Se tardan cinco minutos en repasar el texto que nos han propuesto comparándolo con los puntos señalados anteriormente y nos puede ahorrar más de un disgusto.
• También es peligrosa la extendida costumbre de teclear “Aviso Legal” en Google y tras elegir un ejemplo que parezca muy completo hacer un copia/pega en nuestro sitio cambiando solo los datos identificativos. Este Aviso debe redactarse de forma personalizada, en función no sólo del cumplimiento de las obligaciones legales, sino también de la información y garantías que toda empresa debe mostrar en sus páginas web como primer paso para ganarse la confianza de sus posibles clientes.

Es habitual incluír dentro del Aviso Legal no solo la información a la que se refiere el artículo 10 de la LSSI, sino también las referidas a propiedad intelectual, uso de los contenidos, responsabilidades y protección de datos.

Lo veremos en el segundo artículo de la serie.

Más información l LSSI

Creo que no hay discusión en cuanto a que el objetivo de toda empresa es crecer. Vivimos en un país en el que la gran mayoría de las empresas son micro empresas, sin trabajadores o con dos o tres a lo sumo. La capacidad de crear riqueza de las empresas de este tamaño (e incluso diría sus posibilidades de supervivencia) es relativamente pequeña.

El concepto de las redes sociales nos ofrece herramientas que, bien aprovechadas, pueden ayudarnos en el empeño sin que necesitemos grandes inversiones económicas. Al fin y al cabo, de lo que se trata es de dar a conocer a nuestra empresa y conseguir que los clientes adquieran nuestros productos o servicios antes que los de la competencia.

Hay que incluir otra variable en la gestión de los clientes, fidelizarlos y convertirlos en parte de nuestra estrategia de marketing. Emplear un blog, una página en Facebook o similares, son opciones que aportan ventajas a la hora de trabajar algunos de los aspectos importantes en la consecución de nuestro objetivo, Por citar algunas:

• Permiten abrir un canal de comunicación de doble dirección con nuestros clientes, los escuchamos y ellos nos escuchan.
• No requieren de una inversión económica fuerte.
• Potencian la imagen de nuestra empresa como preocupada e interesada en la opinión que se tiene de sus productos o servicios, y permite pasar parte de esta labor de evangelización a los usuarios de nuestros productos o servicios

No hay que entenderlas como un mero canal publicitario, sino como una vía de comunicación, éste es su valor más importante. No deben estar centradas en nuestra organización, sino en lo que rodea a lo que nosotros ofrecemos.

Pero, ¿tiene esto algún interés para una pequeña empresa? En un comentario a un post de Pymes y Autónomos en el que se apuntan algunas de las razones por las que una empresa debería tener un blog, el propietario de un kiosco que vende golosinas se preguntaba qué utilidad tendría para él un blog, cómo debía plantearlo.

En este ejemplo, no diciendo vendo ésto que es muy bueno, sino hablando de, por ejemplo, las características nutricionales de los dulces, en que medida permitir su consumo a los niños, ideas para fiestas de cumpleaños, cómo empaquetar un regalo, productos novedosos, recetas de pasteles y comida para niños… ¿Véis por dónde voy? Enfocar hacia el entorno que rodea al producto, no al producto en sí. Lo mismo se puede extrapolar a cualquier tipo de empresa, por pequeña que sea, y a cualquiera de las herramientas 2.0, un blog, una red social o un foro.

Los peros que se les pueden poner a estas ventajas son que , aún no requiriendo de una inversión económica para su implantación, si necesitan una atención contínua, hay que actualizarlas con frecuencia y dedicarles tiempo y recursos humanos, gente que las mantenga vivas. Además los beneficios no son inmediatos, sino que se requiere un largo tiempo de trabajo sostenido para empezar a percibirlos.

Foto | bluegum

Vía | Trabajar sin conexión

En Tecnología Pyme | Redes sociales profesionales, una oportunidad para las pymes

La velocidad que ofrecen es de 3’6 Mbits de descarga y 1’4 Mbits de subida en zonas de cobertura 3G+, con un coste fijo mensual de 8 euros y un límite de 100 MB de descarga. Si sobrepasas el límite puedes optar por una reducción de velocidad a 128 Kbps sin cargos añadidos o por mantener la velocidad con un coste de cuatro euros por cada 100 MB de exceso, hasta un máximo de 48 euros mensuales.

Movistar y Vodafone tienen tarifas de similares características por 11’6 y 12 euros respectivamente, y las tres tarifas están pensadas exclusivamente para navegar desde el móvil, no permitiéndose su uso con un ordenador, por lo que tienen establecidas diferentes limitaciones de velocidad y cantidad de tráfico de la conexión en caso de detectarse este uso.

Vía | Xataka Móvil
Más información | Orange

La Ley Orgánica de Protección de Datos (LOPD) tiene como objeto garantizar y proteger derechos fundamentales de las personas físicas, como son especialmente su honor e intimidad personal y familiar. Es por eso que es una ley de rango orgánico, y que en caso de incumplimiento prevee importantes sanciones económicas.

Si una pyme ha de prestar una importante atención a este capítulo se debe a que estás sanciones, al regular un derecho individual de cada ciudadano, no están en función del tamaño de la empresa sino del artículo vulnerado, del nivel de seguridad exigido a esos datos y de una serie de factores que pueden atemperar la sanción y que veremos más adelante.

Analicemos primero qué tipo de infracciones señala la LOPD.

Son infracciones leves:

• No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
• No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas.
• No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
• Proceder a la recogida de datos de carácter personal de los propios afectados sin informarles de sus derechos.
• Incumplir el deber de secreto (salvo que constituya infracción grave).

Son infracciones graves:

• La recogida de datos de carácter personal con finalidades distintas de las que constituyen el objeto legítimo de la empresa.
• Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
• El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
• Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan.
• La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
• Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
• No colaborar con la Agencia de Protección de Datos
• Incumplir el deber de información cuando los datos hayan sido recabados de persona distinta del afectado.

Son infracciones muy graves:

• La recogida de datos en forma engañosa y fraudulenta.
• La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
• No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
• No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
• No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas.

Si se apreciara una cualificada disminución de la culpabilidad de la empresa denunciada, la Agencia de Protección de Datos (AEPD), que es el organismo que tiene la potestad sancionadora, aplica la escala inferior a la clase de infracción señalada. Es decir, que las infracciones muy graves se sancionan como graves, y las graves como leves.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

Como complemento a la serie de “Conceptos Básicos” sobre protección de datos, iniciamos hoy otra bajo el epígrafe “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de sus consecuencias practicas en las pymes.

En la página web de la Agencia Española de Protección de Datos (AEPD) se publican, en la sección Resoluciones, todos aquellos procedimientos sancionadores iniciados por la AEPD, tanto los que terminan en sanción como los que son archivados.

Cada uno de estos procedimientos, además de fundamentar jurídicamente la resolución señalando los preceptos legales vulnerados, “cuenta una historia” y de sus detalles se aprende que los mayores riesgos de una sanción no proceden de errores documentales o de la falta de determinados contratos, sino del uso diario de la información y los datos de carácter personal que toda empresa maneja. Riesgo en ocasiones agravado por el uso de algunos avances tecnológicos.

Veamos ejemplos de los errores “tecnológicos” más habituales que han causado en algunos casos sanciones de muy elevada cuantía, para que de esta manera aprendamos lo que no hay que hacer y estemos más vigilantes ante algunas prácticas aún muy extendidas en las empresas.

• Spam (mail, fax, SMS): sin duda el número 1 por la cantidad de sanciones. Se denomina “spam” a todo tipo de comunicación de carácter comercial no solicitada, realizada por vía electrónica, y esta vía incluye no sólo el correo electrónico, sino también el fax o un SMS. Hay que tener en cuenta que en este ámbito además de la Ley Orgánica de Protección de Datos (LOPD) aparece también la Ley de Servicios de la Sociedad de la Información (LSSI) que no distingue entre personas físicas y jurídicas, de manera que los datos electrónicos de las empresas están tan protegidos como los de los particulares y no pueden ser utilizados sin consentimiento de sus destinatarios. La sanción habitual en caso de denuncia oscila la primera vez entre 1.000 euros y 3.000 euros, aunque en caso de reincidencia puede llegar a los 60.000 euros.
• Datos personales que aparecen en el eMule: por desgracia un asunto que se está convirtiendo en una plaga. Son ya decenas los casos de empresas e instituciones sancionadas por aparecer datos de clientes, trabajadores o alumnos en redes P2P, especialmente el eMule. En la mayor parte de los casos se trata del error involuntario de un empleado que aprovecha los ratos muertos para descargarse algo de música y configura el programa de forma que en vez de dar acceso a una carpeta determinada lo hace a todo el disco duro. Hay que tener en cuenta la especial gravedad del asunto, puesto que ya no se solamente trata de la vulneración de un derecho fundamental (intimidad), sino que además se produce con los datos de muchas personas y queda en Internet al alcance de cualquiera, incluyendo las secciones de delitos telemáticos de las fuerzas de orden público, que suelen ser quienes inician con su denuncia este tipo de procedimientos. Uno de los ejemplos más graves lo podemos ver en el caso de la pequeña clínica en la que los datos de miles de mujeres que se habían sometido legalmente a una interrupción voluntaria del embarazo aparecieron en el emule causando para la doctora (autónoma) dueña de la clínica una sanción de 150.000 euros.

En los siguientes posts de la serie veremos otros ejemplos causados por el envío de correos electrónicos con direcciones al descubierto, el uso de videovigilancia, los formularios de páginas web, los backup remotos, etc.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, vamos a ver los riesgos que respecto a al manejo de datos de carácter personal puede provocar el uso de algunos de los hardware y software que tenemos en nuestras oficinas.

Resulta obvio que la ofimática ha supuesto un enorme avance en la manera en la que incluso una empresa muy pequeña puede llegar a procesar información en grandes volúmenes, pero al tiempo nos obliga a ser precavidos ya que sus automatismos también aumentan los riesgos de vulnerar la legislación sobre protección de datos.

Es fundamental resaltar el hecho de que como ya señalaba en la nota anterior todos estos ejemplos proceden de Resoluciones (sanciones) publicadas en la página web de la Agencia Española de Protección de Datos (AEPD), es decir, son circunstancias que ya han ocurrido y nos deben servir para aprender en piel ajena. Y también que no basta con que estos procedimientos se entiendan a nivel de gerencia en una pyme, sino que cualquier empleado con acceso a datos de carácter personal ha de mantener el mismo tipo de precauciones. Así que si el lector resulta ser un usuario avanzado y algunos de estos errores le resultan demasiado “básicos”, le conviene preguntarse: ¿saben esto mis empleados?

• Correos electrónicos con direcciones al descubierto. Si tenemos que enviar un correo electrónico a varias personas (salvo que obviamente todas sean internas de la compañía o pertenezcan a un mismo grupo) nunca debemos poner todas las direcciones en la casilla “para”, puesto que en ese caso cada uno de los destinatarios verá las direcciones del resto y se considerará una vulneración del deber de secreto (artículo 8 de la LOPD). Se debe usar la casilla CCO (con copia oculta).


• Equipos sin medidas básicas de seguridad. En uno de los procedimientos presenciales de los inspectores de la AEPD se decía con sorpresa: “con sólo pulsar una tecla cualquiera se tenía acceso completo al disco duro del equipo informático”, es decir, que en ese ordenador ni siquiera se había activado una medida tan básica como la contraseña de acceso que conlleva cualquier sistema operativo. De nada sirve “blindar” el acceso a nuestro servidor y cumplir todos los requisitos de seguridad informática si después cualquier equipo desprotegido puede suponer una fuga de información o un acceso no autorizado.


• Soportes con copias de seguridad. CD, DVD, discos duros externos, pendrive… Son muchos los sistemas que podemos emplear tanto para realizar copias de seguridad (obligatorias también según el Reglamento de Medidas de Seguridad de la LOPD) como para transportar información. En este último caso, independientemente de las medidas técnicas implantadas para evitar accesos no autorizados o del encriptamiento de los datos, hay que activar un medida tan poco tecnológica como “estar más atento”. Resulta sorprendente (pero ocurre) los casos en los que “se pierden” soportes con información sensible.


• Máquina de ensobrar. Si su empresa realiza campañas de mailing y dispone de una práctica máquina de ensobrar haga el siguiente experimento: golpee suavemente un sobre sobre una mesa y compruebe si a través de la ventanilla se ven más datos personales que los imprescindibles para su distribución postal. Dejar al descubiertos expresiones como “recibo devuelto” o “deuda pendiente” ha causado ya varias sanciones.


• Fax. Cuando se envía una comunicación por fax no tenemos ningún control sobre quién es la o las personas que van a tener acceso a esa información en el momento de su recepción. Su uso no es aconsejable cuando se trate de transmitir datos de carácter personal.

Continuaremos la serie con un análisis de la problemática que puede suponer la contratación de servicios externos que tienen relación con la protección de datos, como son la videovigilancia, servicios informáticos, backup remotos, formularios web y tiendas virtuales, etc…

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos