{"id":2248,"date":"2020-04-13T17:58:11","date_gmt":"2020-04-13T15:58:11","guid":{"rendered":"https:\/\/bamboo.legal\/cuestiones-legales-basicas-para-la-creacion-de-un-negocio-digital-parte-2\/"},"modified":"2026-02-04T06:32:16","modified_gmt":"2026-02-04T05:32:16","slug":"basic-legal-issues-for-creating-a-digital-business-part-2","status":"publish","type":"post","link":"https:\/\/bamboo.legal\/en\/blog\/cuestiones-legales-basicas-para-la-creacion-de-un-negocio-digital-parte-2\/","title":{"rendered":"Basic legal issues for setting up a digital business (part 2)"},"content":{"rendered":"

En la primera parte<\/strong><\/a> de esta serie de art\u00edculos te explicamos algunas cuestiones legales b\u00e1sicas para la creaci\u00f3n de tu negocio digital; sobre todo en lo referente a la forma jur\u00eddica<\/strong> que adoptar (normalmente aut\u00f3nomo o sociedad limitada) y a la importancia de dejarte asesorar por un profesional en la elecci\u00f3n y registro de tu marca y de tu nombre de dominio<\/strong>.<\/p>\n

En esta segunda parte entramos en las cuestiones legales b\u00e1sicas que en tu negocio digital deber\u00e1s tener en cuenta en materia de protecci\u00f3n de datos<\/strong> y de derecho digital<\/strong>.<\/p>\n

Protecci\u00f3n de datos<\/strong><\/span><\/p>\n

Una vez dados de alta en Hacienda y en la Seguridad Social, constituida la sociedad (si nos hemos decantado por esta forma jur\u00eddica) y registrada la marca, nos disponemos a iniciar la actividad. Ahora bien, muy probablemente en su desarrollo la empresa deber\u00e1 hacer alguna clase de tratamiento de datos personales<\/strong>, bien sea de clientes<\/strong>, de trabajadores<\/strong>, de proveedores<\/strong>, o de todos ellos. En este caso, la empresa queda sujeta a las obligaciones que impone la legislaci\u00f3n en la materia, fundamentalmente el Reglamento General de Protecci\u00f3n de Datos (Reglamento 2016\/679 de 27 de abril, RGPD)<\/strong><\/a> y la Ley Org\u00e1nica de Protecci\u00f3n de Datos Personales y Garant\u00eda de los Derechos Digitales (Ley Org\u00e1nica 3\/2018, de 5 de diciembre, LOPDGDD)<\/strong><\/a>.<\/p>\n

Las obligaciones previstas en esta normativa no pueden tomarse a la ligera pues, para el caso de su incumplimiento, se prev\u00e9n sanciones administrativas de hasta 20 millones de euros<\/strong>. Y trat\u00e1ndose de empresas, la sanci\u00f3n podr\u00e1 llegar a una cantidad equivalente al 4% del volumen de negocio del a\u00f1o anterior<\/strong>, siempre que esta cantidad sea mayor a los mencionados 20 millones de euros. Adem\u00e1s, debe considerarse que, conforme a la legislaci\u00f3n vigente, corresponde al empresario demostrar que ha cumplido con todas las obligaciones que le son exigibles<\/strong>.<\/p>\n

As\u00ed las cosas, debemos referirnos a las principales obligaciones en protecci\u00f3n de datos que deben satisfacer los empresarios.<\/p>\n

En primer lugar, dice el RGPD que todo responsable del tratamiento y todo encargado del tratamiento deber\u00e1 llevar un registro de las actividades de tratamiento<\/strong>. Responsable del tratamiento es la persona f\u00edsica o jur\u00eddica que decide para qu\u00e9 y c\u00f3mo ser\u00e1n tratados los datos personales. Por su parte, encargado del tratamiento es la persona f\u00edsica o jur\u00eddica que trata los datos personales por cuenta del responsable, por ejemplo, la agencia de publicidad que trata los datos de los clientes de la empresa cuando lleva a cabo una campa\u00f1a de marketing a ellos dirigida, o la gestor\u00eda que trata los datos de los empleados cuando prepara las n\u00f3minas. La relaci\u00f3n entre el responsable y el encargado del tratamiento debe regirse por un contrato de encargado del tratamiento<\/strong>, con el contenido previsto en el RGPD.<\/p>\n

El registro de actividades del tratamiento recoger\u00e1 diversa informaci\u00f3n relativa a los tratamientos de datos que se lleven a cabo en el seno de la empresa (las clases de tratamientos que se realizan, su finalidad, las medidas adoptadas para la seguridad de los datos, etc\u00e9tera), y deber\u00e1 estar disponible por si lo solicita la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD)<\/strong><\/a>.<\/p>\n

No todas las empresas est\u00e1n obligadas a llevar el registro de actividades del tratamiento, sino \u00fanicamente aquellas que empleen a 250 trabajadores o m\u00e1s. Ahora bien, las empresas con menos de 250 trabajadores contratados tambi\u00e9n estar\u00e1n obligadas a contar con un registro de las actividades del tratamiento cuando se traten determinado tipos de datos pertenecientes\u00a0 a las llamadas categor\u00edas especiales (raza, ideolog\u00eda, religi\u00f3n, afiliaci\u00f3n sindical, salud, vida sexual u orientaci\u00f3n sexual, o datos de salud, gen\u00e9ticos o biom\u00e9tricos), o cuando se traten datos relativos a condenas e infracciones penales, o, el supuesto que puede ser m\u00e1s com\u00fan, cuando el tratamiento de los datos personales no sea ocasional, sino parte de la actividad habitual de la empresa.<\/p>\n

Otra de las obligaciones a las que pueden estar sujetos los responsables y encargados del tratamiento de datos personales es la designaci\u00f3n de un delegado de protecci\u00f3n de datos<\/strong> (DPO)<\/strong>. En concreto, las empresas deber\u00e1n designar un DPO cuando el tratamiento que se vaya a llevar a cabo requiera una observaci\u00f3n habitual, sist\u00e9mica y a gran escala de datos personales. Igualmente, ser\u00e1 necesario contar con un DPO cuando el tratamiento de los datos, aunque no sea habitual y sistem\u00e1tico, s\u00ed sea a gran escala y se refiera a las categor\u00edas especiales de datos que hemos visto antes, o a datos relativos a condenas e infracciones penales.<\/p>\n

El DPO es la persona encargada de asesorar a la empresa en todas las cuestiones relativas a la protecci\u00f3n de datos<\/strong> y de asegurarse de que se cumplen las obligaciones legales en la materia. Adem\u00e1s, act\u00faa como cauce de comunicaci\u00f3n con la AEPD<\/strong> y, con frecuencia, con los interesados cuyos datos son tratados por la empresa.<\/p>\n

El DPO puede ser una persona f\u00edsica o jur\u00eddica<\/strong>, un trabajador<\/strong> de la empresa o un contratado externo<\/strong>. En cualquier caso, es muy importante que se garantice su independencia<\/strong> y autonom\u00eda<\/strong> en el ejercicio de sus funciones, preserv\u00e1ndolo de cualquier posible conflicto de intereses.<\/p>\n

El DPO no necesita estar en posesi\u00f3n de una titulaci\u00f3n espec\u00edfica<\/strong> para ejercer este puesto, aunque se recomienda que cuente con conocimientos t\u00e9cnicos especializados en el Derecho de la protecci\u00f3n de datos y experiencia en este \u00e1mbito.<\/p>\n

Una de las obligaciones del empresario en cuyo cumplimiento puede asesorar el DPO es la realizaci\u00f3n de an\u00e1lisis de riesgos<\/strong>. Corresponde al empresario, como responsable o encargado del tratamiento, adoptar las medidas t\u00e9cnicas y organizativas necesarias para garantizar la seguridad de los datos que trata. Pero para poder adoptar estas medidas es necesario que, en primer lugar, se identifiquen los riesgos derivados del tratamiento, es decir, el impacto que tendr\u00edan las amenazas potenciales para la integridad, confidencialidad y disponibilidad de los datos si llegaran a verificarse, y la probabilidad de que efectivamente se materialicen.<\/p>\n

Todas las empresas<\/strong>, sin excepci\u00f3n, est\u00e1n obligadas a analizar los riesgos de los tratamientos que realizan y adoptar las medidas de seguridad apropiadas.<\/p>\n

Existen dos tipos de an\u00e1lisis de riesgos que pueden realizarse. Por un lado, est\u00e1 el an\u00e1lisis b\u00e1sico de riesgos<\/strong>, m\u00e1s general y simplificado, y por otra la evaluaci\u00f3n de impacto<\/strong>, de mayor profundidad y realizada para cada tratamiento. La realizaci\u00f3n de uno u otro an\u00e1lisis depender\u00e1 del nivel de riesgo que implique el tratamiento. Para determinarlo se realizar\u00e1 un an\u00e1lisis previo<\/strong>. Si el nivel de riesgo detectado es bajo, corresponde realizar una an\u00e1lisis b\u00e1sico; si por el contrario es elevado, deber\u00e1 llevarse a cabo la evaluaci\u00f3n de impacto.<\/p>\n

En el an\u00e1lisis b\u00e1sico de riesgos<\/strong>, las actividades de tratamiento, agrupadas por procesos comunes, son descritas indicando en qu\u00e9 consiste el tratamiento, cu\u00e1les son los datos que se tratan y por qui\u00e9n son tratados, as\u00ed como la tecnolog\u00eda empleada para llevarlas a cabo. A continuaci\u00f3n, a cada conjunto o categor\u00eda de tratamientos se le asigna un nivel de riesgo y, en su funci\u00f3n, se adoptan unas u otras medidas de seguridad. Para ayudar a realizar el an\u00e1lisis de riesgos la AEPD ha puesto a disposici\u00f3n de responsables y encargados del tratamiento la herramienta FACILITA<\/strong><\/a>, destinada a empresas que realizan tratamientos de datos personales que, a priori, parecen conllevar un bajo nivel de riesgos (como el tratamiento de datos de contacto de clientes o proveedores).<\/p>\n

Ahora bien, como se ha se\u00f1alado, cuando el tratamiento de los datos entra\u00f1e un alto nivel de riesgo no ser\u00e1 suficiente con realizar un an\u00e1lisis b\u00e1sico, sino que se requerir\u00e1 una evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos<\/strong>. La evaluaci\u00f3n de impacto es siempre necesaria cuando los datos personales van a ser tratados de forma automatizada para la elaboraci\u00f3n de perfiles (miner\u00eda de datos), cuando se traten, a gran escala, datos de categor\u00edas especiales, y cuando los datos procedan de la observaci\u00f3n a gran escala de zonas de acceso p\u00fablico (videovigilancia).<\/p>\n

Adem\u00e1s, m\u00e1s all\u00e1 de estos tres casos que acabamos de se\u00f1alar, la evaluaci\u00f3n de impacto ser\u00e1 obligatoria siempre que el tratamiento entra\u00f1e un elevado nivel de riesgo para los derechos y libertades de los afectados. En este sentido, la AEPD ha publicado una lista de tratamientos<\/a><\/strong> que requieren la realizaci\u00f3n de una evaluaci\u00f3n de impacto.<\/p>\n

En la evaluaci\u00f3n de impacto deber\u00e1n describirse las actividades de tratamiento que se realizar\u00e1n y cu\u00e1l ser\u00e1 su finalidad. A continuaci\u00f3n, deber\u00e1 valorarse la necesidad real de llevar a cabo dichas actividades para la consecuci\u00f3n de los fines propuestos, as\u00ed como los riesgos inherentes a su realizaci\u00f3n. Por \u00faltimo, se propondr\u00e1n las medidas de seguridad necesarias para prevenir dichos riesgos.<\/p>\n

Pero, puede ocurrir que, a pesar de que se hayan adoptado todas las medidas de seguridad oportunas, se produzca una quiebra de la seguridad. En este caso, el RGPD impone a los responsables la obligaci\u00f3n de notificar<\/strong> la violaci\u00f3n de la seguridad a la autoridad de control (la AEPD) en el plazo m\u00e1ximo de 72 horas. Adem\u00e1s, si la violaci\u00f3n de la seguridad entra\u00f1a un alto riesgo para los titulares de los datos afectados, deber\u00e1 tambi\u00e9n comunicarse<\/strong> a estos interesados.<\/p>\n

\u00c9sta es una de las m\u00faltiples obligaciones de informaci\u00f3n que se prev\u00e9n en la legislaci\u00f3n de protecci\u00f3n de datos a favor de los interesados. Otra de estas obligaciones es la de informar acerca de los derechos que corresponden a los interesados, que ser\u00e1 tratada en el apartado de este art\u00edculo titulado \u201cTextos legales\u201d.<\/p>\n

En cualquier caso, recomendamos siempre que te pongas en mano de abogados especialistas en protecci\u00f3n de datos<\/strong> para que te asesoren sobre cualquier duda que pudieras tener.<\/p>\n

Sociedad de la informaci\u00f3n<\/strong><\/span><\/p>\n

La Ley de Servicios de la Sociedad de la Informaci\u00f3n y de Comercio Electr\u00f3nico (Ley 34\/2002 de 11 de julio, LSSICE)<\/strong><\/a> contiene un concepto amplio de servicio de la sociedad de la informaci\u00f3n que engloba todos los servicios prestados a distancia, por v\u00eda electr\u00f3nica y a petici\u00f3n individual del destinatario<\/strong>, incluso cuando sean servicios no remunerados por su destinatario, siempre que constituyan una actividad econ\u00f3mica del prestador de servicios<\/strong> (por ejemplo, cuando se monetiza una p\u00e1gina web, de acceso gratuito para los usuarios, mediante la colocaci\u00f3n de anuncios publicitarios).<\/p>\n

A la vista de este concepto amplio de servicio de la sociedad de la informaci\u00f3n, el empresario que realiza su actividad (de contenido econ\u00f3mico) en Internet, debe ser considerado un prestador de servicios de la sociedad de la informaci\u00f3n y, por lo tanto, queda sujeto a las obligaciones previstas en la LSSICE<\/strong>.<\/p>\n

Y dice la LSSICE que los prestadores de servicios est\u00e1n sujetos a las responsabilidades civiles, penales y administrativas en que pudieran incurrir en el ejercicio de su actividad. Es decir, que el hecho de desarrollar sus actividades en Internet no sirve como pretexto para dejar de cumplir las obligaciones que a todos nos imponen las leyes. Ahora bien, la legislaci\u00f3n vigente tambi\u00e9n dispone que cuando los prestadores de servicios presten servicios de intermediaci\u00f3n<\/strong>, y siempre que se cumplan determinadas condiciones, quedar\u00e1n exentos de responsabilidad por los contenidos ajenos que transmiten, alojan o a los que facilitan acceso.<\/p>\n

Las actividades de intermediaci\u00f3n son las relativas a la transmisi\u00f3n, copia, alojamiento y localizaci\u00f3n de datos ajenos en Internet. El prestador de servicios quedar\u00e1 exonerado por las responsabilidades derivadas de los contenidos respecto de los que intermedie siempre que se cumplan una serie de condiciones que, grosso modo, consisten en: (1) que desconozca que la informaci\u00f3n respecto de la que intermedia es il\u00edcita y, (2) que en el momento en que entre en conocimiento de la ilicitud de la informaci\u00f3n o contenido respecto del que realice su actividad de intermediaci\u00f3n, act\u00fae con rapidez para retirarlo o para hacerlo inaccesible.<\/p>\n

Ahora bien, si la actividad del prestador de servicios va a consistir en almacenar obras protegidas de todo tipo (pel\u00edculas, fotograf\u00edas, canciones, obras pl\u00e1sticas, etc\u00e9tera), cargadas en su p\u00e1gina web por terceros, y dar acceso a ellas (un modelo de negocio tipo Youtube, por ejemplo), entonces debe tenerse muy presente la Directiva 2019\/790 de 17 de abril<\/strong><\/a>.<\/p>\n

La citada Directiva dispone que los empresarios que desarrollen esta clase de actividades (los llamados prestadores de servicios para compartir contenidos en l\u00ednea), comunican al p\u00fablico las obras a las que dan acceso en su p\u00e1gina web, aunque hayan sido cargadas por terceros. Esto significa que, si dichas obras han sido cargadas en la plataforma sin el consentimiento de sus autores o de los titulares de los derechos sobre ellas, el prestador de servicios ser\u00e1 responsable, sin que pueda aplicarse la exoneraci\u00f3n de responsabilidad prevista en la LSSICE que acabamos de ver.<\/p>\n

La \u00fanica forma de evitar la responsabilidad en este caso ser\u00e1 contar con una autorizaci\u00f3n de los titulares de derechos o, en su defecto, cumplir 3 condiciones: (1) demostrar que se han hecho esfuerzos serios para lograr dicha autorizaci\u00f3n, (2) demostrar se ha actuado con diligencia para impedir el acceso a las obras protegidas, siempre que los titulares de derechos \u00a0las hayan identificado y, (3) retirar de forma inmediata las obras protegidas cuando los titulares de los derechos le notifiquen que han sido cargadas en la plataforma web sin su consentimiento.<\/p>\n

La Directiva 2019\/790 est\u00e1, a fecha de publicaci\u00f3n de este post, pendiente de transposici\u00f3n (se prev\u00e9 un plazo de dos a\u00f1os para ello) y, por tanto, sus disposiciones a\u00fan no son aplicables<\/strong>. Pero pronto lo ser\u00e1n. Por ello, el emprendedor que aspire a desarrollar una empresa en Internet debe tenerlas muy presentes a la hora de planificar su negocio. Para mayor informaci\u00f3n sobre la Directiva 2019\/790 puede consultarse este post<\/a><\/strong>.<\/p>\n

Adem\u00e1s de lo anterior, si en el desarrollo de nuestro negocio tenemos pensado enviar una newsletter<\/strong>, de la LSSICE debemos tener particularmente en cuenta que el env\u00edo de comunicaciones publicitarias o promocionales por medios electr\u00f3nicos est\u00e1 prohibido <\/strong>salvo que: 1) previamente hubiera sido solicitado o autorizado por el destinatario (es decir, se cuente con una lista de suscriptores a la newsletter cuyos datos hayan sido v\u00e1lidamente obtenidos para dicha finalidad); o 2) exista una relaci\u00f3n contractual previa con el destinatario y la newsletter tuviera relaci\u00f3n con los productos o servicios contratados. En todo caso, el empresario deber\u00e1 facilitar al destinatario la posibilidad de anular la suscripci\u00f3n a la newsletter en cada env\u00edo que realice, y a oponerse al tratamiento de sus datos para dicha finalidad en el momento de la recogida de sus datos (lo que normalmente se traduce en una casilla en el formulario de contacto que indique que no se desean recibir comunicaciones comerciales).<\/p>\n

Esta disposici\u00f3n de la LSSICE pretende evitar el molesto spam<\/strong>, trat\u00e1ndose as\u00ed de una conducta no permitida por la ley. De esta forma, nuestra recomendaci\u00f3n es que no promociones tus productos y servicios mediante env\u00edo de correos electr\u00f3nicos a personas o empresas que no conozcas y que no hayan autorizado la recepci\u00f3n de tales correos; y que, en cambio, llames por tel\u00e9fono y pidas, por ejemplo, cita para una reuni\u00f3n.<\/p>\n

Textos legales<\/strong><\/span><\/p>\n

Los empresarios est\u00e1n sujetos a m\u00faltiples obligaciones de informaci\u00f3n impuestas tanto por la LSSICE como por las normas sobre protecci\u00f3n de datos. La forma de dar cumplimiento a estas obligaciones para el emprendedor en Internet consiste en la redacci\u00f3n de diversos textos legales que estar\u00e1n disponibles, de forma f\u00e1cilmente accesible, para su consulta en su web.<\/p>\n

Uno de estos textos es el aviso legal<\/strong>, a trav\u00e9s del que se cumplen las obligaciones de informaci\u00f3n impuestas por la LSSICE. En \u00e9l deben incluirse, en primer lugar, los datos de identificaci\u00f3n y contacto del prestador de servicios responsable de la p\u00e1gina web. Esto incluye el nombre o denominaci\u00f3n social, el correo electr\u00f3nico, el n\u00famero de tel\u00e9fono y el NIF. Si se opt\u00f3 por constituir una persona jur\u00eddica, como una sociedad de responsabilidad limitada, tambi\u00e9n deber\u00e1n incluirse sus datos de inscripci\u00f3n en el Registro Mercantil.<\/p>\n

Adem\u00e1s, si la actividad desarrollada en la p\u00e1gina web est\u00e1 sujeta a autorizaci\u00f3n administrativa previa (energ\u00eda, transporte, producci\u00f3n y transformaci\u00f3n de metales, qu\u00edmica, industria alimentaria y del tabaco, gesti\u00f3n de residuos, seguridad privada, bares y restaurantes, juego y apuestas, etc\u00e9tera), se deben indicar los datos relativos a dicha autorizaci\u00f3n y los que identifiquen al \u00f3rgano supervisor competente.<\/p>\n

Por otro lado, si el prestador de servicios ejerce una profesi\u00f3n regulada, deber\u00e1 constar el n\u00famero de colegiaci\u00f3n, el t\u00edtulo acad\u00e9mico o profesional con el que se cuente y su pa\u00eds de expedici\u00f3n, y el c\u00f3digo deontol\u00f3gico por el que se rige el ejercicio de dicha profesi\u00f3n. Las profesiones reguladas son aquellas cuyo acceso se condiciona a obtener una determinada titulaci\u00f3n, haber superado ex\u00e1menes especiales (por ejemplo, ex\u00e1menes estatales) y\/o inscribirse en un \u00f3rgano profesional (como un colegio profesional) para ejercerla. Son ejemplos de esta clase de profesionales los abogados, procuradores, m\u00e9dicos, arquitectos, auditores de cuentas, detectives privados, enfermeros, entrenadores deportivos, farmac\u00e9uticos, y los ingenieros, entre otros.<\/p>\n

En el caso de que el prestador de servicios est\u00e1 adherido a alg\u00fan c\u00f3digo de conducta, deber\u00e1 se\u00f1alarse esta circunstancia, indicando la forma de consultarlo en Internet.<\/p>\n

La LSSICE exige que toda esta informaci\u00f3n est\u00e9 disponible de manera claramente visible e identificable. Ahora bien, a condici\u00f3n de que los usuarios de la web puedan encontrarla siempre con facilidad, puede ser emplazada donde se prefiera (en el pie de p\u00e1gina, en una p\u00e1gina reservada para ello).<\/p>\n

Ahora bien, si en el desempe\u00f1o de la actividad se van a recoger datos personales (algo muy frecuente), ser\u00e1 necesario adem\u00e1s que en la p\u00e1gina web se facilite la informaci\u00f3n exigida por el art\u00edculo 13 RGPD, a trav\u00e9s de otro texto legal, la pol\u00edtica de privacidad<\/strong>.<\/p>\n

Esta informaci\u00f3n puede ser ofrecida a los interesados en dos \u201ccapas\u201d<\/strong>, es decir, la informaci\u00f3n b\u00e1sica deber\u00e1 aparecer directamente en la web (al pie o en una p\u00e1gina destinada a ello), mientras que al resto de la informaci\u00f3n podr\u00e1 ser consultada por un medio que permita un acceso f\u00e1cil e inmediato, por ejemplo, un enlace.<\/p>\n

La informaci\u00f3n b\u00e1sica que deber\u00e1 facilitarse en la primera capa comprende (como m\u00ednimo): la identidad del responsable del tratamiento, la finalidad del tratamiento de los datos (actividades de marketing, gesti\u00f3n de pedidos, etc.), la legitimaci\u00f3n del tratamiento (es decir, la base jur\u00eddica, de las previstas en el art\u00edculo 6 RGPD, que lo justifica), los destinatarios a los que se comunicar\u00e1n los datos, y la posibilidad de ejercer los derechos reconocidos en los art\u00edculos 15 a 22 del Reglamento (acceso, rectificaci\u00f3n, supresi\u00f3n, limitaci\u00f3n del tratamiento, portabilidad, oposici\u00f3n, y derecho a no ser objeto de decisiones individuales automatizadas). Adem\u00e1s, deber\u00e1 incluirse un enlace a la informaci\u00f3n de segunda capa.<\/p>\n

En la segunda capa deber\u00e1n facilitarse los datos de contacto del responsable del tratamiento, los datos identificativos del delegado de protecci\u00f3n de datos, si lo hubiere, la finalidad del tratamiento (con mayor detalle), el plazo de conservaci\u00f3n de los datos, la realizaci\u00f3n o no de transferencias internacionales de datos, la forma en la que podr\u00e1n ejercerse en la pr\u00e1ctica los derechos de los interesados, el derecho de los interesados a reclamar ante la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) si consideran vulnerados sus derechos y, finalmente, deber\u00e1 informarse tambi\u00e9n sobre si los datos recogidos ser\u00e1n tratados de forma automatizada para la elaboraci\u00f3n de perfiles.<\/p>\n

Por otro lado, lo m\u00e1s normal es que los empresarios digitales instalen en sus p\u00e1ginas web cookies<\/strong> con diversas finalidades (t\u00e9cnicas, de personalizaci\u00f3n, de an\u00e1lisis, publicitarias). Las cookies recogen informaci\u00f3n sobre la navegaci\u00f3n de los usuarios de la p\u00e1gina web, incluyendo datos personales, por lo que tambi\u00e9n respecto a ellas deben cumplirse las exigencias de la legislaci\u00f3n de protecci\u00f3n de datos.<\/p>\n

Para ello, en la p\u00e1gina web debe contarse con otro texto legal, la pol\u00edtica de cookies<\/strong>, en la que se informe a los usuarios de las cookies instaladas en la web, los datos que recogen y para qu\u00e9 los recogen, el plazo de conservaci\u00f3n de los datos, la legitimaci\u00f3n legal para llevar a cabo este tratamiento de datos personales, las cesiones de datos que pudieren realizarse y los derechos de los usuarios respecto de sus datos. Es decir, toda la informaci\u00f3n que conforme el RGPD debe comunicarse a los interesados por el tratamiento de sus datos, pero esta vez referida espec\u00edficamente a los datos personales recopilados a trav\u00e9s de las cookies.<\/p>\n

Adem\u00e1s, en la pol\u00edtica de cookies deber\u00e1 explicarse la forma de desactivar o bloquear las cookies. Esto es especialmente importante cuando la base jur\u00eddica del tratamiento sea el consentimiento del interesado (un supuesto muy com\u00fan), pues el art\u00edculo 7.3 RGPD dispone que \u201cel interesado tendr\u00e1 derecho a retirar su consentimiento en cualquier momento\u201d.<\/p>\n

Por \u00faltimo, si a trav\u00e9s de la web se permite la compra de productos o servicios, tambi\u00e9n deber\u00e1n redactarse unas condiciones generales de compra<\/strong>, que regular\u00e1n las relaciones entre la empresa y sus clientes por los productos o servicios contratados. Este contrato deber\u00e1 ser redactado teniendo en cuenta las disposiciones de la Ley 7\/1998, de 13 de abril, sobre condiciones generales de la contrataci\u00f3n (LCGC)<\/strong><\/a>. As\u00ed mismo, por imperativo de la LSSICE, los precios de los productos y servicios deber\u00e1n ser expresados de forma clara y exacta, indicando si los impuestos y los gastos de env\u00edo est\u00e1n o no incluidos.<\/p>\n

En adici\u00f3n a lo anterior, si la empresa digital va a vender sus productos o prestar sus servicios a consumidores<\/strong> (y no a otras empresas), deber\u00e1 tenerse en consideraci\u00f3n, adem\u00e1s, la Ley General para la Defensa de los Consumidores y Usuarios (<\/strong>1\/2007, de 16 de noviembre, <\/strong>TRLGDCU)<\/strong><\/a>, que establece una serie de derechos de los consumidores y obligaciones de los empresarios. En especial, por lo que se refiere a la redacci\u00f3n de los t\u00e9rminos y condiciones, deber\u00e1 tenerse presente el art\u00edculo 102 de la citada ley. Este art\u00edculo establece el derecho de los consumidores a desistir del contrato celebrado<\/strong>, en el plazo de 14 d\u00edas<\/strong> desde su celebraci\u00f3n, sin necesidad de indicar motivo alguno para ello. En los t\u00e9rminos y condiciones deber\u00e1 hacerse constar la existencia de este derecho, el modo de su ejercicio y, tambi\u00e9n, las excepciones en las cuales el consumidor no podr\u00e1 ejercerlo.<\/p>\n

Llegado este punto, despu\u00e9s de que la empresa haya adoptado la forma jur\u00eddica m\u00e1s apropiada, tras haberse dotado de la marca o marcas necesarias para distinguir sus productos en el tr\u00e1fico comercial y haberlas registrado, tras haber registrado su nombre de dominio, haberse preparado para cumplir las exigencias legales en protecci\u00f3n de datos y sociedad de la informaci\u00f3n, y haber redactado los textos legales necesarios teniendo en cuenta todos los requisitos legales impuestos por las normas aplicables (RGPD, LSSICE, LCGC, TRLGDCU), podremos decir que la nueva empresa digital cumple los requisitos legales b\u00e1sicos para desarrollar su actividad con tranquilidad y seguridad. No obstante, debe considerarse que si la actividad que se va a iniciar es de las sujetas a autorizaci\u00f3n administrativa (como, por ejemplo, el juego, la sanidad, la seguridad privada\u2026) existen requisitos legales espec\u00edficos que deber\u00e1n cumplirse.<\/p>\n

El cumplimiento de las obligaciones legales que han sido expuestas a lo largo de estos dos art\u00edculos es una condici\u00f3n indispensable para el desarrollo pac\u00edfico y satisfactorio de las actividades empresariales que se van a emprender. Por ello, resulta de la m\u00e1xima importancia contar con el asesoramiento especializado apropiado, de forma que se eviten riesgos y los negocios digitales puedan continuar prosperando sin sobresaltos.<\/p>\n

[Art\u00edculo escrito por Luis M\u00aa Benito Cerezo]<\/p>\n","protected":false},"excerpt":{"rendered":"

En la primera parte de esta serie de art\u00edculos te explicamos algunas cuestiones legales b\u00e1sicas para la creaci\u00f3n de tu negocio digital; sobre todo en lo referente a la forma jur\u00eddica que adoptar (normalmente aut\u00f3nomo o sociedad limitada) y a la importancia de dejarte asesorar por un profesional en la elecci\u00f3n y registro de tu […]<\/p>\n","protected":false},"author":3,"featured_media":2247,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2248","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria"],"acf":[],"_links":{"self":[{"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/posts\/2248","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/comments?post=2248"}],"version-history":[{"count":1,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/posts\/2248\/revisions"}],"predecessor-version":[{"id":3180,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/posts\/2248\/revisions\/3180"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/media\/2247"}],"wp:attachment":[{"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/media?parent=2248"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/categories?post=2248"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/tags?post=2248"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}