+34-913671204
soporte@aclass.es

Blog

Obligaciones legales de aviso legal, privacidad y cookies en sitios web

Índice

Requisitos legales en sitios web (España y UE)

En España y la Unión Europea la ley obliga a los sitios web y comercios electrónicos a incluir ciertos textos legales fundamentales: un Aviso Legal, una Política de Privacidad y una Política de Cookies. Estas obligaciones provienen de normas tanto europeas (Directivas y Reglamentos de la UE) como españolas (leyes nacionales que las implementan). A continuación analizamos cada requisito y qué normativa exige su presencia, así como quién (desarrollador o titular) tiene la responsabilidad legal de su cumplimiento, citando las disposiciones legales específicas.

Aviso Legal: obligación y normativa

El Aviso Legal (información general del sitio) es obligatorio. En el ámbito europeo, la Directiva 2000/31/CE sobre comercio electrónico ya exigía que todo prestador de servicios de la sociedad de la información facilite una serie de datos identificativos básicos en su sitio web boe.es. Esta directiva fue transpuesta en España mediante la Ley 34/2002 (LSSI-CE). En concreto, el artículo 10.1 de la LSSI establece que el prestador del servicio (es decir, la persona o empresa titular del sitio web) “estará obligado a disponer de los medios” para que usuarios y autoridades accedan de forma fácil, directa y gratuita a cierta información legal del sitio boe.es. En otras palabras, la LSSI exige incluir en la web un apartado accesible (comúnmente denominado “Aviso Legal”) con los datos identificativos del titular.

¿Qué información debe incluir el aviso legal?

El artículo 10 de LSSI enumera los datos mínimos que deben aparecer. En resumen, se debe indicar, entre otros:

  • Identidad del titular: nombre o razón social de la persona física o jurídica dueña del sitio boe.es.
  • Información de contacto: domicilio o dirección, una dirección de correo electrónico y cualquier otro dato que permita una comunicación directa y efectiva (por ejemplo, teléfono) boe.es.
  • Datos registrales: si la empresa está inscrita en el Registro Mercantil u otro registro público, indicar dicho registro y número de inscripción boe.es.
  • NIF/CIF: número de identificación fiscal del titular boe.es.
  • Autorizaciones o profesión regulada: si la actividad requiere licencia o colegiación, información sobre la autoridad de supervisión o colegio profesional correspondiente boe.es
  • Precios (si se ofrecen productos/servicios con precio): mostrar claramente el precio, indicando si incluye impuestos y gastos de envío boe.es.

La normativa exige que esta información esté disponible de forma permanente y gratuita en el sitio web boe.es. Incluyéndola en una página accesible (típicamente enlazada en el pie de página como “Aviso Legal”), el prestador cumple con la obligación legal boe.es. No tener Aviso Legal o no incluir alguno de estos datos supone un incumplimiento de la LSSI, sancionable como infracción leve boe.es.

Política de privacidad: obligación y normativa

La Política de Privacidad es igualmente obligatoria, fundamentada principalmente en la normativa europea de protección de datos. El Reglamento General de Protección de Datos (RGPD, UE 2016/679) exige transparencia en el tratamiento de datos personales. En particular, el artículo 13 del RGPD establece que cuando se recojan datos personales de los usuarios, el responsable del tratamiento (la entidad que decide sobre dichos datos) debe facilitar al interesado cierta información básica en el momento de la recogida boe.es. Entre los datos que deben informarse al usuario están: la identidad y contacto del responsable del tratamiento (y de su representante, si lo hay), los datos de contacto del delegado de protección de datos (si existe), los fines para los que se van a usar los datos y la base jurídica que lo legitima, los destinatarios de los datos, el plazo de conservación, la existencia de derechos del usuario (acceso, rectificación, supresión, oposición, portabilidad, etc.), y si habrá transferencias internacionales, entre otros boe.es

Nota: El RGPD no menciona expresamente “política de privacidad” como tal, pero en la práctica la forma más común de cumplir el deber de información del artículo 13 es publicar una Política de Privacidad completa en la web y/o incluir cláusulas informativas en los formularios donde se recaban datos. El contenido mínimo de esa política viene determinado por los artículos 13 y 14 RGPD (información que se debe proporcionar al interesado). La normativa española complementaria, la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD), también refuerza estas obligaciones de información, aunque esencialmente remite a lo exigido por el RGPD.

En resumen, es obligatorio informar al usuario sobre cómo y con qué finalidad se tratan sus datos personales. Esta obligación recae en el responsable del tratamiento, que normalmente será la empresa o titular del sitio web. No contar con una política de privacidad adecuada o no informar al usuario de estos extremos puede conllevar sanciones graves bajo el régimen del RGPD (art. 83 RGPD). El RGPD exige además que la información se facilite de forma “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo” (art. 12 RGPD), de ahí la importancia de una política de privacidad claramente redactada y accesible.

Política de Cookies: obligación y normativa

La Política de Cookies tiene su base en la normativa europea de privacidad en las comunicaciones electrónicas. La Directiva 2002/58/CE (sobre privacidad y comunicaciones electrónicas), modificada por la Directiva 2009/136/CE, introdujo la obligación de obtener el consentimiento informado del usuario antes de instalar o usar cookies no esenciales. En España, esta exigencia se incorporó en el artículo 22.2 de la LSSI-CE, que dispone que los prestadores de servicios (sitios web) “podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales del destinatario (ej. cookies) a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular sobre los fines del tratamiento de los datos” boe.es.

En términos sencillos, antes de instalar cookies no exceptuadas (ej. cookies de analítica, publicidad, preferencias no esenciales, etc.), el sitio debe informar al usuario de forma clara de que se usan cookies y con qué propósito, y recabar su consentimiento. Solo quedan excluidas de este requisito las cookies técnicamente necesarias para el servicio solicitado (p. ej., cookies de sesión para recordar el carrito de compra, que no requieren consentimiento previo).

La forma habitual de cumplir con el art. 22.2 LSSI es mediante un banner o aviso de cookies al entrar al sitio (que alerta de su uso y solicita el consentimiento, permitiendo rechazarlas o configurarlas) y una página detallada de Política de Cookies accesible en la web. En dicha política de cookies se amplía la información: qué tipos de cookies utiliza el sitio, con qué finalidad, si son propias o de terceros, plazos de conservación, cómo puede el usuario configurarlas o revocarlas, etc., para asegurar esa “información clara y completa” exigida por la ley boe.es.

Al igual que con el aviso legal, la LSSI contempla sanciones si no se cumple esta obligación. De hecho, usar cookies sin informar ni obtener consentimiento conforme al art. 22.2 LSSI constituye una infracción (calificada normalmente como leve) boe.es. Por ello, es imprescindible que cualquier página web que no se limite a cookies técnicas incluya un mecanismo de consentimiento y una Política de Cookies que explique su uso, para ajustarse tanto a LSSI como al RGPD (este último también considera el uso de cookies con identificadores online como un tratamiento de datos personales, vinculado al consentimiento del usuario según art. 6.1.a RGPD).

¿Quién es el responsable de incluir estos textos legales? ¿Desarrollador o titular?

Las leyes citadas dejan claro que la obligación legal de cumplir con estos requisitos recae sobre la entidad titular del sitio web, no sobre el desarrollador web. En otras palabras, el cliente o propietario de la página web (prestador del servicio / responsable del tratamiento) es el sujeto obligado a incluir el aviso legal, la política de privacidad y la de cookies, asegurándose de que su web cumple la normativa. A continuación, fundamentamos esta conclusión en las disposiciones legales:

  • La LSSI-CE, art. 10.1, impone la obligación del aviso legal al “prestador de servicios de la sociedad de la información”, que es la persona física o jurídica que ofrece el servicio online boe.es. No menciona al desarrollador. El prestador de servicios se refiere típicamente a la empresa dueña de la web o tienda online (por ejemplo, la tienda o negocio que se promociona o vende por Internet) boe.es. Es este prestador/titular quien debe “disponer” en su web de los medios para informar (aviso legal). Si faltan esos datos, será el prestador (titular) quien incurra en infracción y afrontaría las sanciones boe.es. En ningún apartado la ley asigna al diseñador o programador web la responsabilidad de publicar esa información; recae en el dueño del servicio.
  • En protección de datos ocurre igual: el RGPD asigna las obligaciones de transparencia e información al “responsable del tratamiento” (quien decide sobre el tratamiento de datos, normalmente la empresa dueña del sitio). El art. 13 RGPD dice explícitamente que “el responsable del tratamiento… facilitará [al interesado] toda la información” exigida sobre uso de sus datos boe.es. Asimismo, el RGPD en su art. 24 exige que “el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas” para garantizar el cumplimiento, incluyendo la adopción de políticas de protección de datos adecuadas boe.es. Esto implica que es deber del responsable (el titular del sitio) implementar esos textos y medidas (políticas de privacidad, mecanismos de consentimiento, etc.) para cumplir la ley. El desarrollador web, en cambio, suele actuar en estos casos como un “encargado del tratamiento” (data processor) que presta un servicio al responsable, y sus obligaciones legales son distintas: básicamente, tratar los datos personales siguiendo las instrucciones del responsable y conforme al contrato de prestación de servicios, tal como establece el art. 28 RGPD boe.es. En otras palabras, la agencia o desarrollador no decide por su cuenta qué textos legales incluir ni con qué contenido (eso lo determina el cliente como responsable); su papel es técnico y de asistencia, ejecutando lo acordado con el cliente.
  • Un desarrollador o agencia digitalizadora (por ejemplo, en el marco de un “Kit Digital” u otro servicio) sí tiene la obligación contractual o profesional de informar a su cliente de estos requerimientos y, normalmente, de entregar la web con los medios para cumplirlos (páginas de aviso legal, privacidad y cookies). De hecho, buenas prácticas profesionales indican que el desarrollador debería asesorar al cliente sobre la necesidad de estos textos. Sin embargo, desde el punto de vista legal ante terceros, el responsable último es el titular del sitio. Si la web no cumple la LSSI o el RGPD, será la empresa titular la que podría recibir requerimientos o sanciones de la autoridad (AEPD u órganos de consumo/administración), no el programador. Solo en caso de que el desarrollador incurra en alguna violación por su cuenta (por ejemplo, usar datos del sitio indebidamente o incumplir las instrucciones del cliente) podría éste también tener responsabilidad, pero no por la falta de textos legales en sí.

En conclusión, la obligación de incluir Aviso Legal, Política de Privacidad y de Cookies recae en el cliente titular de la web, puesto que es él quien actúa como prestador del servicio y responsable del tratamiento ante la ley. El desarrollador web actúa normalmente como un colaborador técnico (y encargado de tratamiento) que debe ceñirse a las instrucciones del cliente boe.es, pero no asume la responsabilidad jurídica principal de las obligaciones informativas descritas. Cada disposición legal citada atribuye claramente el deber de cumplimiento al propietario/gestor del sitio web (ya sea mediante esa terminología de prestador de servicios en la LSSI boe.es o responsable del tratamiento en RGPD boe.es), por lo que es este último quien debe asegurarse de que su página incluya correctamente dichos textos legales.

Referencias legales: Las obligaciones comentadas se sustentan en las siguientes normas: Directiva 2000/31/CE y art. 10 de la Ley 34/2002 (LSSI-CE) para el Aviso Legal boe.es; Reglamento (UE) 2016/679 (RGPD) y art. 13 RGPD (complementado por LO 3/2018) para la Política de Privacidad boe.es; Directiva 2002/58/CE (mod. 2009/136/CE) y art. 22.2 de LSSI-CE para la Política de Cookies boe.es. La responsabilidad recae en el titular del servicio (sitio web) según la propia LSSI boe.es y el RGPD, mientras que el desarrollador actúa conforme a instrucciones del responsable (art. 28 RGPD) boe.es. Todas estas disposiciones confirman que es el cliente (dueño de la web) quien tiene la obligación legal de incluir y mantener actualizados esos textos, asegurando el cumplimiento de la normativa vigente.

Conócenos

Buscar

Categorías

Categorías

Publicaciones relacionadas

Aclass Internet y Comunicaciones S.L.® es una empresa proveedora de servicios globales de Internet.

Área de Clientes
Gestión de dominios
Términos legales
Contacta con nosotros
Abrir Ticket de Soporte
Mapa del Sitio

Todos los derechos reservados
©Aclass Internet y Comunicaciones S.L.
Alfonso XII, 62
28014 Madrid – Spain
+34-913671204

Sello de confianza Ecommerce Europa con estrellas
Logotipo circular Confianza Online en colores.
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.