Informe de Legalidad

Auditoría de legalidad

1.- Objeto del informe

Analizar y asesorar sobre los aspectos legales básicos de la página web https://www.marilles.org/ (en adelante Marilles Foundation) en cuanto a propiedad intelectual e industrial, protección de datos de carácter personal, seguridad, publicidad e implementación de los términos y condiciones creados

2.- Normativa aplicable

  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante LSSICE)
  • Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD)
  • Ley 17/2001, de 7 de diciembre, de Marcas (en adelante LM)
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia
  • Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias (en adelante RDLGDCU)
  • Ley 34/1988, de 11 de noviembre, General de Publicidad
  • Ley 7/1998, de 13 de abril, sobre Condiciones Generales de la Contratación

3.- Implementación de los términos y condiciones creados

3.1.- En relación a la Política de Cookies

La Política de Cookies es para https://www.marilles.org/. Debería ir siempre en la parte inferior de la web, junto al resto de textos legales.
De acuerdo al artículo 22.2 LSSICE, para incorporar la Política de Cookies se debería hacer lo siguiente:

  •  Cuando el usuario entre por primera vez en la web, mostrar la típica cortinilla / pop-up de aviso con un texto como:

"Si aceptas, instalaremos en tu dispositivo cookies nuestras y de terceros para mejorar la navegación, proporcionar el servicio y obtener estadísticas | Aceptar - Rechazar | Más info".

Y en el "Más info" se enlazaría a la Política de Cookies en sí.

Con la nueva normativa sobre protección de datos, el RGPD, la fórmula de "Si sigues navegando entendemos que aceptas nuestras cookies" no encaja tan bien y lo más adecuado ahora mismo es presentar dos botones, Aceptar o Rechazar y que el usuario decida. Con el tiempo (y nueva normativa en camino que afectará de pleno en materia de cookies), lo normal es que se vaya perfilando más esta cuestión y podamos quizá volver a un sistema de "Si sigues navegando...".

Además, de acuerdo a la normativa aplicable las cookies no deben instalarse en el dispositivo hasta que el usuario las acepta por clicar el botón de Aceptar. Sí pueden instalarse las cookies consideradas técnicas antes de ese Aceptar o Rechazar, es decir:

  • Cookies de entrada del usuario
  • Cookies de autenticación o identificación de usuario (únicamente de sesión)
  • Cookies de seguridad del usuario
  • Cookies para proceso de compra en tienda online
  • Cookies de sesión de reproductor multimedia
  • Cookies de sesión para equilibrar la carga
  • Cookies de personalización de la interfaz de usuario
  • Cookies de complemento (plug-in) para intercambiar contenidos sociales

Para ayudar en esa labor, y sobretodo en webs donde las cookies realizan tratamientos concretos como tracking u obtención de estadísticas, soluciones como las de Civic serían quizá las más adecuadas para realizar un uso de cookies adecuado al RGPD.

Pero una solución propia también puede funcionar.

En nuestro caso concreto, existe un pop-up aunque con un único botón, el de aceptar. Por tanto, el pop-up debería modificarse y seguir con el criterio establecido en el artículo 22.2 LSSICE, que hemos mencionado anteriormente.

3.2.- En relación a las condiciones de uso y privacidad

Las condiciones de uso y privacidad son para https://www.marilles.org/. Deberían ir siempre en el parte inferior de la web, junto al resto de textos legales. Ahora mismo, existe un apartado donde pone “política de privacidad” y debería sustituirse por condiciones de uso y privacidad.
Por otro lado, varios formularios distribuidos a lo largo de la web deberían informar al usuario sobre unos mínimos legales en materia de protección de datos de carácter personal y enlazar expresamente a las condiciones de uso y privacidad, de acuerdo al artículo 13 RGPD, en especial sus apartados 1 y 2.
Se puede encontrar en: 1) al hacer clic en el enlace superior derecho denominado “Participa” y 2) antes de suscribirte al newsletter.

En este caso, lo adecuado sería:

a) En primer lugar, señalar siempre los campos obligatorios con un asterisco cuyo significado se indique en la propia web.

b) Por otro lado, antes del botón "Enviar" de esos formularios, incluir el siguiente texto + un checkbox desmarcado para aceptar o no el envío de comunicaciones comerciales (el checkbox no puede estar marcado por defecto y el mensaje debe enviarse aunque no se marque):
Al contactarnos aceptas que Marilles Foundation trate tus datos según lo establecido en nuestras condiciones de Uso y Privacidad. Los recogemos para responder tu consulta, siendo la base legal nuestro interés legítimo en atender y responder a nuestros usuarios. Si aceptas, te enviaremos comunicaciones sobre nuestras actividades, siendo la base legal tu consentimiento. No compartiremos tus datos con terceros, salvo obligación legal. Puedes ejercer tus derechos de acceso, rectificación, supresión y oposición, entre otros, según nuestras condiciones de Uso y Privacidad

Ahora mismo la página no dispone del citado texto ni del checkbox para que el usuario acepte el envío de comunicaciones.

c) En el lugar donde pone "Condiciones de uso y Privacidad” debería enlazarse al correspondiente documento.

d) El checkbox desmarcado para aceptar el posible envío de comunicaciones vía email, llevaría el siguiente texto:

  • Acepto recibir de Marilles Foundation comunicaciones sobre sus actividades

e) Si no se quiere tener la posibilidad de enviar comunicaciones electrónicas a partir del envío de mensajes con el formulario de contacto, no haría falta incluir lo indicado en la letra d) y bastaría dejar el texto de acompañamiento de la siguiente forma:

Al contactarnos aceptas que Marilles Foundation trata tus datos según lo establecido en nuestras Condiciones de Uso y Privacidad. Los recogemos para responder tu consulta, siendo la base legal nuestro interés legítimo en atender y responder a nuestros usuarios. Puedes ejercer tus derechos de acceso, rectificación o supresión, entre otros, según nuestras Condiciones de Uso y Privacidad

f) Para el newsletter que se encuentra en la parte inferior de la web, colocaremos el siguiente texto + un checkbox desmarcado:

  • Marilles Foundation recoge tu email para mantenerte al día sobre nuestras actividades, siendo la base legal tu consentimiento. Puedes ejercer tus derechos, incluida el de oposición, según nuestras Condiciones de Uso y Privacidad

4.- Cuestiones legales respecto a protección de datos personales

Si no lo hace ya, Marilles Foundation debe cumplir con las previsiones del RGPD, la nueva normativa en materia de protección de datos de carácter personal. En ese sentido, dos son los elementos de carácter general que constituyen la mayor innovación del RGPD para los responsables del tratamiento:

- El principio de responsabilidad proactiva: El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

- El enfoque de riesgo: el RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.

De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.

Para más información, consultar la Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento.

5.- Cuestiones legales respecto propiedad intelectual e industrial

De acuerdo al artículo 2.1 de la Ley de Marcas, el derecho de propiedad sobre la marca y el nombre comercial se adquiere por el registro válidamente efectuado de conformidad con lo establecido en la ley.

Por tanto, el derecho para usar de forma exclusiva y excluyente el logotipo, marca, nombre comercial o denominación social de una entidad, producto o servicio, únicamente existe si se procede a su registro.

Por lo comprobado en el localizador de la Oficina Española de Patentes y Marcas, “Marilles Foundation” no consta registrada como marca nacional, como tampoco sus otras variantes como podrían ser, “Marilles” o “Fundación Marilles”.

Por otro lado, destacar que en materia de propiedad intelectual, también cabe el registro de software, bases de datos o páginas web a través del Registro de Propiedad Intelectual del Ministerio de Educación, Cultura y Deporte.

6.- Cuestiones legales respecto a publicidad online

De acuerdo al artículo 21.1 LSSICE, está prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico que no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Es importante recordar este punto en relación respecto a cualquier posible newsletter.
En todo caso, y según el artículo 21.2 LSSICE, si existe una relación contractual previa durante la que se hubieran recogido de forma lícita los datos de contacto del destinatario, estos pueden usarse para el envío comunicaciones comerciales referentes a productos o servicios de su propia empresa. Ahora bien, siempre que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, Marilles Foundation deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los mismos como en cada una de las comunicaciones que le dirija.
Es decir, incluir en cada correo electrónico que se envíe un sistema para darse de baja de ese tipo de envíos. Y lo mismo a través de la cuenta de usuario en la web o una dirección de contacto de Marilles Foundation.

7.- Otras cuestiones legales relacionadas con la página webs

Como ya hemos mencionado anteriormente, las Condiciones de Uso y Privacidad como también la Política de Cookies, deberían ir siempre en la parte inferior de la web, junto al resto de textos legales. En este caso, sería bueno que se sustituyera el nombre actual “Política de Privacidad” por Condiciones de Uso y Privacidad.