La legislación sobre privacidad de datos establece los requisitos que deben cumplir los sitios web si alcanzan determinados umbrales.
En este artículo explico cómo afectan las leyes de privacidad de datos a los sitios web, qué otros requisitos legales existen para los sitios web y consejos para ayudar a cumplirlos.
Leyes sobre sitios web que pueden afectarle
La siguiente lista de normas y reglamentos ofrece una breve explicación de los requisitos legales pertinentes y las leyes sobre sitios web que pueden afectar a su empresa.
| Legislación | Descripción |
RGPD |
Si su sitio web ofrece bienes o servicios a personas ubicadas en la Unión Europea, Islandia, Noruega, Liechtenstein, Suiza o el Reino Unido, debe cumplir las arrolladoras leyes de privacidad generadas por el Reglamento General de Protección de Datos. El cumplimiento del rgpd comienza con una política de privacidad exhaustiva que detalle qué, cómo, cuándo y dónde se recopilan los datos. |
CCPA |
La Ley de Privacidad del Consumidor de California es una ley de privacidad de datos que regula la forma en que las empresas de todo el mundo pueden manejar la información de identificación personal de los residentes de California. La CCPA se centra principalmente en las leyes de privacidad que exigen que presente un política de cookies que explique las cookies que recopila y almacena y cómo usted o terceros pueden utilizarlas. Más adelante encontrará más información sobre las soluciones de consentimiento de cookies . La CCPA también es conocida por su definición única del término "venta", y si su sitio web se dedica a vender información personal, ésta es la que debe estudiar detenidamente. |
CPRA |
En noviembre de 2020, se puso en marcha una adenda a la CCPA que reforzó la profundidad y amplitud de los requisitos de privacidad de datos de California. La Ley de Derechos de Privacidad de California es una potente ley de privacidad de datos que afecta a los requisitos de privacidad y notificación de los sitios web a los que pueden acceder los consumidores de California. La CPRA amplía la CCPA al exigir que los sitios web que comparten datos personales cumplan plenamente todas las leyes de privacidad. Anteriormente, sólo debían cumplirla los sitios web que vendían datos. La CPRA entró en vigor el 1 de enero de 2023. |
COPPA |
La FTC hace cumplir la Ley de Protección de la Privacidad Infantil en Internet (Children's Online Privacy Protection Act, COPPA ) para ayudar a proteger la privacidad de los niños y mantenerlos seguros en Internet. La normativa COPPA exige que los sitios web obtengan el consentimiento de los padres antes de recopilar información personal de niños menores de 13 años. |
CalOPPA |
Además de las normas básicas de rgpd , otros requisitos legales para los sitios web incluyen el cumplimiento de las disposiciones de la Ley de Protección de la Privacidad en Línea de California. Su política de privacidad debe utilizar la palabra "privacidad" en un enlace directo desde la página de inicio del sitio web y revelar información de terceros sobre quién recopila exactamente los datos. |
Ley de cookies de la UE |
La Directiva de la UE sobre cookies (también conocida como Ley de cookies de la UE o Directiva sobre privacidad electrónica) exige que los sitios web dispongan de un sitio web específico ( política de cookies ) y obtengan el consentimiento de los usuarios antes de almacenar o recuperar información personal en un ordenador, smartphone o tableta. Diseñada para proteger la privacidad de los datos, pretende que los clientes sean conscientes de cuánta información sobre ellos recopilan los sitios web. Esto les permite decidir con conocimiento de causa si deben o no seguir facilitando esa información. |
Ley del Botón Borrador |
La Ley de Derechos de Privacidad de los Menores de California en el Mundo Digital (también llamada Ley del Botón Borrador) se aplica a los sitios web que permiten a los usuarios menores de 18 años registrarse y publicar contenidos. La Ley del Botón Borrador establece que estos sitios web deben informar a los usuarios menores de 18 años de que tienen el derecho legal y la capacidad de eliminar el contenido o la información que han aportado en cualquier momento. |
ADA |
La Ley de Estadounidenses con Discapacidades (Americans With Disabilities Act) exige ciertas normas de accesibilidad de sitios web para usuarios con alguna discapacidad. Esto significa que toda la información y tecnología electrónicas, incluido su sitio web, deben ser accesibles para las personas con discapacidad. |
También hay que tener en cuenta varias leyes de privacidad a nivel estatal, ya que también pueden aplicarse directamente a los sitios web.
Además, la Comisión Federal de Comercio de EE.UU. (FTC ) se encarga de hacer cumplir los requisitos legales de los sitios web que utilizan o podrían utilizar los consumidores en ese país.
Lista de requisitos legales del sitio web
Además de las políticas de privacidad de datos, es posible que su sitio web tenga que cumplir los requisitos de accesibilidad de la ADA, así como requisitos relativos al comercio electrónico, derechos de autor, plagio y leyes anti-spam.
También hay sectores específicos que exigen sitios web relacionados con asuntos sanitarios, jurídicos y financieros.
Aunque la ley no lo exige, también es útil presentar información como condiciones de uso, los términos y condiciones, las políticas de envío y las políticas de devolución. La información de contacto y las páginas informativas sobre la propia empresa también son cada vez más habituales y el consumidor las espera.
Veamos ahora qué requisitos legales debe cumplir su sitio web.
Requisitos de privacidad y recopilación de datos
Las leyes de privacidad son la base de los requisitos generales de cumplimiento legal.
Las políticas casi siempre empiezan con el hecho de que se recogen datos, seguido de una explicación detallada de los tipos de datos que un sitio web puede recoger y el derecho del usuario a acceder y controlar esos datos.
Los siguientes requisitos afectan a todos los sitios web:
- Explique el tipo de información personal que recopila.
- Defina cómo utiliza y comparte los datos.
- Revelar el uso de servicios de terceros.
- Describe cómo los usuarios pueden controlar sus datos.
- Informar a los usuarios del sitio web de si están siendo rastreados y cómo.
Generador de Política de Privacidad
Desde 2018, la rgpd exige a las empresas que procesan la información personal de los residentes de la UE que lo hagan con medidas estrictas y explícitas de privacidad de datos.
La política de privacidad debe detallar qué, cómo, cuándo y dónde se recogen los datos personales. También prevé la divulgación de la recogida por terceros, los derechos de los interesados y el uso y la seguridad de los datos relacionados y el acceso de los consumidores.
Según la CPRA, debe ofrecer a los consumidores la posibilidad de "optar por no participar" en la venta de su información privada.
Una vez hecha esa solicitud, debe esperar al menos 12 meses antes de pedir a los consumidores que vuelvan a optar por la venta de su información personal.
Crear una política de privacidad mediante Termly
A continuaciónle explicamos cómo puede utilizar el generador de Termlypara crear una política de privacidad completa y conforme a la normativa.
Paso 1: Vaya a Termly's Generador de política de privacidad.
Paso 2: Responda a unas sencillas preguntas y siga todos los pasos hasta llegar a "Detalles finales".
Paso 3: Una vez que hayas rellenado todo y estés satisfecho con la vista previa, haz clic en "Publicar". A continuación, se te pedirá que crees una cuenta en Termly para que puedas guardar y seguir editando tu política de privacidad.
"Enlace "No vender mis datos personales
Un sitio web no puede vender información personal si no tiene un enlace claro y visible "No venda mi información personal" en su página de inicio, junto con información en su política de privacidad sobre qué información personal se vende realmente.
"Enlace "No compartir mis datos personales
Si su empresa comparte o divulga información personal a terceros para la publicidad conductual de contexto cruzado, la CPRA exige que informe a sus usuarios colocando un enlace "No compartir mi información personal" y ofreciendo a los consumidores la posibilidad de excluirse.
Esta norma se aplica a los sitios web que tratan con residentes en California, que además cumplen al menos uno de los siguientes umbrales:
- Tienen unos ingresos brutos anuales de al menos 25 millones de dólares.
- Obtienen el 50% o más de sus ingresos anuales de la venta de información personal de consumidores californianos
- Anualmente compran, reciben con fines comerciales, venden o comparten con fines comerciales la información personal de más de 50.000 consumidores, hogares o dispositivos de California.
En virtud de la CPRA, se creó una nueva categoría de información personal protegida en la que los consumidores tienen derecho a limitar el uso y divulgación de su información personal sensible, por ejemplo, su raza u orientación sexual.
Si las empresas quieren que sus sitios web sean legalmente sólidos, deben proporcionar un enlace explícito y visible en la página de inicio de su sitio web titulado "No compartir mis datos personales".
Requisitos de consentimiento
Aunque la rgpd y la Ley de Cookies de la UE tienen su sede en la UE, se aplican a todas las empresas que actualmente o potencialmente pueden comercializar con consumidores de la UE.
Esto significa que las empresas estadounidenses con clientes de la UE necesitan una política de cookies que cumpla los requisitos de transparencia y consentimiento de la rgpd y la Ley de cookies de la UE.
Estas normas exigen que los usuarios den su consentimiento explícito e informado antes de que un sitio web pueda procesar su información.
Por lo que respecta al consentimiento con arreglo a la CCPA, no se requiere el consentimiento proactivo de un usuario antes de la recogida de datos.
Puede recopilar, utilizar y almacenar datos de cookies de inmediato sin ninguna confirmación por parte del usuario, siempre y cuando su política de cookies se publique de forma destacada y los usuarios puedan elegir sus preferencias de cookies.
Los requisitos de consentimiento de la nueva CPRA van más allá en cuanto a la protección de los datos de los consumidores menores de 16 años.
Se requiere el consentimiento activo para vender o compartir la información personal de un menor. Ese mismo consentimiento activo es necesario en virtud de la COPPA para cualquier usuario menor de 13 años.
Requisitos de seguridad de los datos
Como parte de los Principios de Prácticas Leales de Información de la FTC, las medidas de seguridad de un sitio web para proteger los datos de los usuarios y eliminar los datos antiguos deben definirse en su propia sección.
Las medidas de seguridad necesarias dependerán de la cantidad de datos que recopile y de su sensibilidad. Estas medidas deben aplicarse para reducir el riesgo de violaciones de la ciberseguridad.
Requisitos de las cookies
En virtud de la rgpd, la Ley de Cookies de la UE, la CCPA y la CPRA, usted está legalmente obligado a informar a los usuarios de cómo utiliza las cookies que recopila. Puede incluir esa información en su política de privacidad o explicarla en un apartado política de cookies.
Usted está legalmente obligado a colocar lo siguiente en su política de cookies:
- Revele que su sitio web recoge y almacena cookies.
- Explique qué son las cookies y por qué su sitio las utiliza.
- Revelar los tipos de cookies que usted o terceros utilizan.
- Explique cómo recopila la información (por ejemplo, formularios, inscripciones, suscripciones).
- Indique por qué usted o un tercero recopila la información.
- Informar a los usuarios de cómo pueden aceptar, rechazar o personalizar su experiencia con las cookies.
- Utilice un lenguaje político accesible y fácil de entender.
Los requisitos sobre cookies de la actual legislación sobre privacidad de datos tratan de dar a los usuarios el máximo control posible sobre sus datos y el uso que se hace de ellos.
Por ejemplo, la CCPA permite a los consumidores californianos oponerse específicamente tanto a la venta como al intercambio de sus datos.
Los sitios web deben proporcionar los medios para hacerlo, o no cumplirán los requisitos de las cookies.
La inclusión del término "compartir", en lo que se refiere a la información personal de un usuario, aumentará sin duda el número de empresas que deben cumplir la CPRA.
consentimiento de cookies Solución
De acuerdo con la Ley de Cookies de la UE y la rgpd, debe pedir a los usuarios que den su consentimiento para la utilización de política de cookies en su sitio web - lo que normalmente se hace utilizando un botón banner de cookies - así como ofrecer a los usuarios la oportunidad de establecer sus preferencias de cookies.
En Estados Unidos hay normas más estrictas para los niños.
Por ejemplo, la COPPA exige el consentimiento activo de los padres para los menores de 13 años, y la CPRA ampliada exige el consentimiento para los menores de 16 años. Lo mejor sería utilizar un gestor deconsentimiento de cookies para asegurarse de que su sitio web cumple todas las normas de consentimiento.
Utilice nuestro escáner de sitios web para cumplir los requisitos sobre cookies
Averigüe qué cookies hay en su sitio web utilizando nuestra página escáner de cookies:
Requisitos de accesibilidad
La ADA prohíbe la discriminación por motivos de discapacidad. Exige que los sitios web sean accesibles a todo el mundo, incluidas las personas con discapacidad auditiva o visual.
La accesibilidad puede significar hacer que su sitio web sea compatible con:
- Fuentes más grandes
- Herramientas de lectura web
- Transcripciones de vídeos
- Descripciones escritas de las imágenes
- Contraste claro entre fuentes y fondos
Estas adaptaciones pueden ser útiles para todos y garantizan que ninguna persona sea discriminada por su discapacidad.
Todo sitio web perteneciente a una empresa que tenga al menos 15 empleados y esté abierta más de 20 semanas al año debe cumplir la ley ADA.
Técnicamente, la ADA no se refiere explícitamente a los sitios web, y los tribunales no han sostenido sistemáticamente que los sitios web deban cumplirla.
No obstante, tenga en cuenta que, en virtud del Título II de la ADA, los sitios web de las administraciones locales y estatales deben ser accesibles para las personas con discapacidad.
Consideraciones sobre comercio electrónico
En un sitio web de comercio electrónico, debe emplear medidas de seguridad para proteger la información privada de sus clientes.
Por lo tanto, HTTPS, o protocolo de transferencia de hipertexto seguro, debería activarse automáticamente. HTTP es el sistema utilizado para enviar información entre un sitio web y el navegador web de un usuario, siendo HTTPS la versión segura de dicho sistema.
Esta protección es fundamental para todos los sitios web de comercio electrónico. Si decide no utilizar HTTPS, podría exponer la información financiera de los clientes que intenten realizar una compra en su sitio web.
Requisitos sobre derechos de autor y plagio
El contenido original está protegido por derechos de autor, independientemente de que usted, como propietario, desarrollador o creador del sitio web, lo registre oficialmente en línea en la Oficina de Derechos de Autor. Cualquier uso no atribuido o no autorizado del contenido original de otro sitio web se considerará plagio o infracción de los derechos de autor.
Esto se extiende a la copia web que pueda haberse tomado prestada de otro sitio web. También afecta a las imágenes que puedan haberse descargado de lugares como Google Imágenes.
Licencias y atribución de contenidos
Los contenidos producidos por profesionales pueden licenciarse legalmente para su uso en su propio sitio web.
El contenido puede incluir varios medios como fotos, vídeos, contenido de audio, gráficos, infografías, contenido de medios mixtos, música, contenido de medios sociales digitales, logotipos, dibujos, tablas, símbolos, etc.
Las licencias pueden adquirirse directamente a través de un acuerdo con un editor o de una biblioteca de contenidos que ya haya concedido la licencia de uso del material.
Especialmente en el caso de las imágenes, se requiere una licencia de contenido y, como mínimo, la atribución al propietario legítimo.
Legislación antispam
El spam incluye cualquier correo electrónico no solicitado o irrelevante enviado en masa a una lista de personas. Puede tratarse de correos comerciales no solicitados que intentan que los clientes compren algo.
También incluye mensajes fraudulentos, como los que proliferan con estafas de phishing, timos de lotería o virus informáticos.
En Estados Unidos, la ley CAN-SPAM ( Controlling the Assault of Non-Solicited Pornography and Marketing Act) regula el correo electrónico publicitario y permite a los destinatarios rechazar los mensajes que no desean recibir.
Por desgracia, el proceso de darse de baja puede ser bastante enrevesado.
La Ley Anti-Spam de Canadá crea un sistema de opt-in más estricto, en el que los clientes deben inscribirse para recibir correos electrónicos de marketing. A diferencia de Estados Unidos, la cancelación de la suscripción debe ser rápida y sencilla.
La rgpd también cubre el spam, y sus disposiciones son las más estrictas. Por ejemplo, rgpd siempre exige a los destinatarios que acepten los mensajes de marketing, y no hay consentimiento implícito por parte de personas que ya son clientes suyos.
Considere los descargos de responsabilidad
Una de las cláusulas de exención de responsabilidad más comunes en los sitios web rechaza expresamente cualquier responsabilidad por las acciones que los usuarios realicen basándose en el contenido del sitio. Las cláusulas de exención de responsabilidad pueden separarse en una sección propia o formar parte de los términos y condiciones.
Las cláusulas de exención de responsabilidad adicionales dependerán de la naturaleza única de su sitio web. Por ejemplo, puede:
- Rechazar la responsabilidad por el contenido de terceros o anunciantes en su sitio, incluidos los enlaces de afiliación.
- Indicar que el contenido del sitio sólo tiene fines informativos y no constituye asesoramiento profesional.
- Indique que los usuarios no pueden utilizar su contenido original sin permiso
- Si se trata de un sitio web jurídico, presente un descargo de responsabilidad en el que se indique que el sitio web no establece una relación abogado-cliente y que las entradas del blog no constituyen asesoramiento jurídico.
Lista de requisitos legales para sitios web de sectores específicos
Además de los requisitos legales de un sitio web que hemos cubierto anteriormente, varias industrias deben seguir requisitos especializados.
Requisitos de la HIPAA para los sitios web sanitarios
La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios de 1996 regula la recogida y el intercambio de información sanitaria personal de los pacientes. Por lo tanto, si su sitio web trata información sanitaria, debe tener especial cuidado con la forma de recopilarla.
Las normas y reglamentos de la HIPAA constan de tres componentes principales:
- Las normas de confidencialidad de la HIPAA
- Normas de seguridad de los datos sanitarios
- Normas relativas a las notificaciones de violaciones de datos sanitarios
Los pacientes también deben ser informados de sus derechos sobre sus datos sanitarios.
Algunas de las infracciones más comunes de la HIPAA son mantener registros no seguros, no encriptar los datos adecuadamente y deshacerse indebidamente de los historiales médicos. Además, si su sitio web contiene formularios de contacto o utiliza un sistema de reservas, asegúrese de que cumplen la HIPAA.
Requisitos de la ABA para los sitios web jurídicos
La American Bar Association exige el cumplimiento de sus Reglas de Conducta Profesional, que regulan lo que los abogados pueden y no pueden expresar en sus sitios web.
Por ejemplo, los requisitos legales para un sitio web creado por un abogado incluyen:
- Los abogados no pueden decir que están especializados o son expertos en un área concreta del Derecho a menos que posean una acreditación especial de un organismo regulado por el Estado.
- Los abogados no pueden hacer declaraciones falsas o afirmaciones sin fundamento, como que son los mejores de toda la ciudad, estado o región.
- Los abogados no pueden hacer promesas sobre resultados jurídicos, incluidas alusiones a acuerdos pasados que impliquen que los futuros serán similares.
Requisitos del sitio web financiero
Las instituciones financieras se enfrentan a requisitos específicos para sus sitios web, ya que están expuestos a ataques informáticos y virus diseñados para recuperar información financiera de los clientes.
Los sitios web de banca electrónica suelen exponer a las instituciones financieras al mayor riesgo por transacción, especialmente en el caso de las transacciones comerciales, que suelen implicar importes en dólares más elevados.
Además de los controles de seguridad de los datos, como el cifrado, los sitios web financieros deben contar con procesos de autenticación para clientes nuevos y existentes y evitar posibles infracciones de las leyes relativas a la divulgación obligatoria de la privacidad del consumidor sobre la recopilación y el almacenamiento de datos financieros.
Además, las empresas que cotizan en bolsa están sujetas a normativas específicas de la Securities and Exchange Commission que regulan cuándo, qué y cómo deben publicarse los contenidos en sus sitios web.
Requisitos del sitio web del contratista
Si usted es contratista general o subcontratista, le compensa exhibir sus credenciales de licencia en un lugar destacado de su sitio web.
Aunque parece que no existen normativas federales para los sitios web de contratistas, consulte a su junta estatal de licencias para determinar si está obligado a mostrar su identificación de licencia de contratista cuando se anuncie a los clientes en Internet.
No es legalmente obligatorio, pero sí recomendable
Algunas secciones no son legalmente obligatorias, pero es una buena idea tenerlas en su sitio web porque generalmente se aceptan como componentes esenciales de un sitio web.
"Página" Quiénes Somos
Una página "Quiénes Somos " ofrece a los usuarios una idea de cómo empezó el negocio y qué ideales son los más importantes para el propietario. Puede crear una conexión muy necesaria entre los clientes y el propietario de la empresa.
Información de Contacto
La información de contacto es un elemento indispensable de un sitio web. La información de contacto en las redes sociales también se ha convertido en un componente esperado de los sitios web. Crea otra vía de contacto para que los clientes establezcan una conexión y puede dar lugar a más ventas.
Términos y Condiciones
Los términos y condiciones suelen establecer las normas de su sitio web.
Por ejemplo, cuando venda productos directamente desde su sitio web, debe mostrar sus condiciones de facturación, precios, envíos y devoluciones para que los clientes sepan a qué atenerse.
Especialmente si su sitio web utiliza información de terceros, los términos y condiciones deben establecer claramente que usted no es responsable de la exactitud de las declaraciones de terceros, ni respalda las declaraciones o acciones de terceros.
Condiciones de Uso
Aunque la ley no lo exija, una página de "condiciones de uso" es útil para establecer las normas de utilización de su sitio web.
Por supuesto, las normas variarán según el tipo de sitio que esté creando, pero pueden incluir cláusulas de exención de responsabilidad o establecer dónde y cómo deben resolverse las disputas.
Políticas de envío, devolución y reembolso para sitios web de comercio electrónico
El objetivo de las políticas de envío, devolución y reembolso es definir los requisitos específicos sobre cómo, cuándo y en qué circunstancias los compradores pueden enviar o devolver los artículos adquiridos.
Los sitios web de comercio electrónico no están sujetos automáticamente a la obligación de reembolso, lo que hace aún más importante la inclusión de normas claras y directas.
Las políticas bien redactadas demuestran que usted se preocupa por sus clientes y por su satisfacción con sus productos y servicios.
Cómo puede ayudar Termly
La mejor manera de evitar problemas legales y cumplir las leyes estatales, federales e internacionales es ser transparente con los usuarios.
Haga que sus políticas de privacidad y de cookies sean claras y visibles, y los usuarios apreciarán la franqueza con que trata sus datos más privados y personales. Además, asegúrese de cumplir las normas del sector y la legislación internacional sobre sitios web.
La creación de un sitio web que cumpla la legislación dará lugar a un modelo de negocio más seguro, una mayor confianza y fidelidad de los clientes y un menor riesgo de violaciones de la privacidad y la seguridad.
Puede utilizar TermlyGenerador de política de privacidad y soluciones de consentimiento para ayudar a simplificar el cumplimiento de los requisitos que su sitio web puede necesitar seguir.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
