Auditoría legal de un sitio web


Porwilliammoura- Postado em 04 outubro 2012

 

De: Javier Prenafeta Rodríguez
Fecha: Mayo 2005
Origen: Noticias Jurídicas

 

En el desarrollo y puesta en marcha de proyectos web, aún a pesar de invertirse cantidades importantes de dinero y recursos, suelen descuidarse los aspectos legales. Pueden contratarse servicios de consultoría estratégica y de Marketing, diseñadores web u otros proveedores, pero no se suele contar con un abogado que asesore sobre los problemas que pueden surgir. Ello se debe, en mayor medida, a que habitualmente se desconocen dichos aspectos legales implicados y, además, no se es consciente de los riesgos que generan dichas actividades.

 

No obstante, los conflictos o problemas relacionados con el uso de las nuevas tecnologías son cada vez más frecuentes, especialmente en materias como la protección de datos/privacidad o la propiedad intelectual y nombres de dominio, y están aumentando con la progresiva expansión del comercio electrónico. En el contexto del comercio electrónico, no sólo puede haber los mismos problemas que en el comercio tradicional, sino que las características del medio, su alcance y las tecnologías utilizadas hacen que surjan otros riesgos.

 

En este sentido, una auditoría legal especializada resulta un mecanismo idóneo para no sólo asegurarse del cumplimiento de la normativa aplicable a Internet y al comercio electrónico, sino que permite identificar (anticiparse), revisar y evaluar los riegos y posibles daños que puedan surgir con el desarrollo de dichas actividades, y establecer las medidas correctoras necesarias para su subsanación.

 

Aspectos legales de las nuevas tecnologías

 

Los aspectos legales implicados irán en función del tipo de sitio web de que se trate y de los productos o servicios ofrecidos. No es lo mismo poner en marcha una plataforma de comercio electrónico B2B que un portal de contenidos, un sitio web corporativo o el portal de un organismo público. Habrá que tener en cuenta el público al que se dirige (empresas, consumidores, usuarios o ciudadanos) y valorar qué aspectos son más relevantes y pueden generar más riesgo.

 

En general, los aspectos en los que deberemos centrarnos son los siguientes:

 

  • Nombres de dominio, de cara a su posible conflicto con marcas u otros signos distintivos.

  • Titularidad y derechos sobre los contenidos (propios o ajenos), lo que incluye el diseño y programación del sitio web, los enlaces de hipertexto, textos, bases de datos, programas de ordenador, imágenes, gráficos, animaciones o demás elementos multimedia, logotipos, marcas y patentes, en su caso, que contenga el sitio web. Respecto a los contenidos propios, aún a pesar de haber sido desarrollados dentro de la empresa, habrá que ver la relación contractual de los autores con la misma para comprobar si se ha alterado el régimen legal de cesión de derechos sobre sus creaciones, pudiendo ser considerado un sitio web, en tanto participan varios autores bajo la coordinación de otra persona, como una obra colectiva (art. 8 Ley de Propiedad Intelectual), ya que las aportaciones de cada uno en algunos casos van a ser difíciles de individualizar. En todo caso, es recomendable proteger, por medios legales y técnicos, dichos contenidos.

  • En cuanto a los contenidos de terceros, se deberá contar con la debida autorización para su reproducción, distribución o comunicación pública. La LSSI establece que el titular de la web sólo podrá ser responsable por éstos en caso de que, habiendo tenido conocimiento efectivo de su ilicitud o de que lesiona los bienes o intereses de un tercero, no suprima o inutilice el acceso a los mismos.

  • Publicidad, tanto de los productos o servicios propios como de los de terceros, y normas de derecho de la competencia. En principio se aplicarán las reglas generales de dicha normativa, pero, como se ha señalado, existen diferencias. Por ejemplo, en cuanto al uso de banners, habrá que analizar la posible invasión de la privacidad de los usuarios (uso de cookies o tracking networks) o la responsabilidad respecto a los enlaces externos de éstos. En cuanto a las comunicaciones comerciales electrónicas, habrá que aplicar las reglas de la LSSI y la LOPD.

  • Contratación electrónica y normativa sobre consumidores. La regulación de estos aspectos es dispersa. La LSSI establece las reglas básicas de la contratación (información sobre el procedimiento de la contratación o confirmación de la aceptación de la oferta), pero también debe cumplirse con las obligaciones relativas a la contratación con condiciones generales y la protección de los consumidores (indicar el precio del producto con los impuestos y gastos aplicables, garantías y servicio post venta,…). Entre otras cuestiones, conviene tener en cuenta la posibilidad de los compradores de ejercer su derecho a la resolución del contrato en el plazo de siete días hábiles (en el caso de contratos sometidos a condiciones generales el vendedor es quien debe correr con los gastos de devolución del bien) y los casos en que puede anularse el cargo en los pagos realizados con tarjeta. Debe preverse, asimismo, la contratación internacional.

  • Protección de datos de carácter personal. Los datos de los usuarios, clientes o proveedores, en el caso de personas físicas, se someten a la regulación de esta normativa. Los pasos a seguir en este caso son:

    1. Realización de un inventario de los ficheros con datos personales y determinación del nivel de seguridad aplicable,

    2. Evaluación de las medidas de seguridad existentes y adecuación de las mismas a la normativa vigente,

    3. Elaboración de un Documento de Seguridad de los ficheros,

    4. Notificación de la existencia de los ficheros a la Agencia de Protección de Datos,

    5. Elaboración o adaptación de los formularios, cláusulas y contratos relativos al tratamiento de datos de carácter personal,

    6. Asesoramiento y sensibilización al personal de la empresa, y

    7. Realización de Auditorías de Seguridad periódicas.

  • Cuestiones ligadas a las telecomunicaciones, como el alojamiento de los servidores, servicio que también se relaciona con la protección de datos en la medida en que dichos proveedores realizan en almacenamiento de datos por cuenta de tercero, lo que obliga a celebrar un contrato por escrito entre las partes, en el que se establezcan cuestiones como los datos a los que tendrá acceso, los usos permitidos y las medidas de seguridad que deberán implantarse. El alojamiento de los datos en servidores fuera de la Unión Europea, como Estados Unidos, supondrá una transferencia internacional de datos, debiendo adoptarse las medidas que señala la ley.

  • Trámites registrales. La LSSI obliga a inscribir, al menos, un nombre de dominio, en el caso de empresas en el Registro Mercantil, sin olvidar que otras entidades (asociaciones, fundaciones,…) también tienen sus registros específicos. Tratándose de empresas que realizan venta a distancia, también es necesario inscribirse en el Registro de Ventas a Distancia. Es recomendable, además, a efectos de prueba, la inscripción de las condiciones generales de la contratación en su registro específico.

 

Existen otras cuestiones también importantes. Los sitios web de Administraciones Públicas deben cumplir con los niveles de usabilidad y accesibilidad comúnmente aceptados (por el W3C y la Unión Europea) siguiendo el mandato de la LSSI (Disposición Adicional 5ª) y, en todo caso, los prestadores de servicios de la sociedad de la información deben informar sobre determinados aspectos mínimos según el art. 10 de la LSSI, a los que deberán añadirse los que correspondan en función de la actividad.

 

Evaluación y soluciones

 

El análisis de los anteriores aspectos debe permitir conocer qué actividades pueden generar riesgo, las consecuencias económicas que pueden derivarse de dichos riesgos, determinar las prioridades y la realización de un seguimiento de los riegos legales detectados.

 

En este sentido, puede utilizarse una metodología que, por medio de cuestionarios y checklists, permita conocer el funcionamiento del sitio web (a nivel interno y frente al público), la organización de la entidad y la gestión de sus actividades. Los apartados anteriores deben desarrollarse en cuestiones concretas, a las que se debe asignar un valor en función del riesgo, corregido en función de los posibles daños o consecuencias así como por el grado de tolerancia aceptado.

 

Como ejemplo valga un cuestionario de autoevaluación que realicé cuando trabajaba en APTICE (que ahora habría que actualizar), que podría ser un punto de partida simplemente para mostrar al cliente su situación de modo general. El cuestionario se facilitó en papel tras una charla sobre la LSSI que impartimos los miembros del departamento jurídico, pero perfectamente puede integrarse en una página web de modo que al finalizar las preguntas se informe de su resultado en pantalla.

 

La conjunción de lo anterior dará como resultado una serie de puntuaciones que permitirán la realización de gráficas de riesgos legales de modo que, a simple vista, pueda determinarse el grado de adecuación de un sitio web a la normativa aplicable.

 

Lo anterior debe tomarse como los principios sobre los cuales trabajar y llevar a cabo los cambios necesarios en la web y en la organización de la entidad. El cumplimiento de todo ello no sólo puede ser un interesante argumento de Marketing o una ventaja competitiva, sino que incrementará la confianza de los usuarios en un sitio web.

 

Javier Prenafeta Rodríguez.
Abogado.
http://www.jprenafeta.com/blog/.