Aviso legal, política de privacidad y cookies: ¿son lo mismo?

Es uno de los malentendidos más comunes entre autónomos y pequeñas empresas que montan su primera web: creer que con "poner algo de privacidad en el pie de página" ya está todo cubierto. En realidad son tres documentos distintos, regulados por leyes distintas, con contenidos distintos y con diferentes consecuencias si faltan.

El aviso legal

El aviso legal está regulado por la Ley de Servicios de la Sociedad de la Información (LSSI). Su función es identificar al titular de la web y permitir al usuario saber con quién está interactuando.

Qué debe incluir:

• Nombre completo o denominación social del titular.
• NIF o CIF.
• Domicilio (puede ser el domicilio fiscal o profesional).
• Datos de contacto: email y, si la hay, teléfono.
• Si la actividad requiere autorización administrativa, los datos de esa autorización.
• Si es una profesión regulada (médico, abogado, arquitecto...), el colegio profesional, número de colegiado y normas deontológicas aplicables.

Quién está obligado: Cualquier persona o empresa que preste servicios de la sociedad de la información, es decir, que realice una actividad económica a través de internet, aunque sea solo informar sobre sus servicios. Esto incluye prácticamente cualquier web de negocio.

Qué NO es el aviso legal: No regula la protección de datos. No habla de cookies. Es un documento de identificación del operador web, no de privacidad.

La política de privacidad

Está regulada por el RGPD y la LOPDGDD. Su función es informar a los usuarios de cómo se tratan sus datos personales.

Qué debe incluir:

• Identidad y datos de contacto del responsable del tratamiento.
• Finalidades del tratamiento (para qué se usan sus datos).
• Base jurídica del tratamiento (por qué tienes derecho a tratar sus datos).
• Plazo de conservación de los datos.
• Destinatarios de los datos (con quién los compartes).
• Transferencias internacionales si las hubiera.
• Derechos del usuario y cómo ejercerlos.
• Derecho a reclamar ante la AEPD.

Quién está obligado: Cualquier web que recoja datos personales de los usuarios. Un formulario de contacto, una suscripción a newsletter, un proceso de compra online, un registro de usuario... cualquiera de estos elementos activa la obligación de tener política de privacidad.

Qué NO es la política de privacidad: No identifica al titular de la web (eso lo hace el aviso legal). No regula el uso de cookies (eso lo hace la política de cookies).

La política de cookies

Está regulada por la LSSI y la Guía de Cookies de la AEPD. Su función es informar a los usuarios sobre las cookies que usa la web y obtener su consentimiento para las que lo requieren.

Qué debe incluir:

• Qué son las cookies (breve explicación).
• Listado de las cookies que usa la web: nombre, tipo (técnica, de análisis, publicitaria...), finalidad, duración y proveedor.
• Si hay cookies de terceros, enlace a las políticas de privacidad de esos terceros.
• Cómo puede el usuario gestionar sus preferencias de cookies desde el propio sitio.
• Cómo puede el usuario eliminar o bloquear cookies desde su navegador.

Quién está obligado: Cualquier web que use cookies que no sean estrictamente técnicas. Esto incluye prácticamente cualquier web que use Google Analytics, herramientas de chat, integraciones con redes sociales, o publicidad.

El banner de cookies no es la política de cookies: El banner es el mecanismo para obtener el consentimiento del usuario antes de instalar cookies. La política de cookies es el documento completo con todo el detalle. El banner debe enlazar a la política.

Los tres documentos juntos: cómo organizarlos en tu web

Lo más habitual es tener tres páginas separadas y enlazarlas desde el pie de página:

• /aviso-legal (o "Aviso Legal")
• /politica-de-privacidad (o "Política de Privacidad")
• /politica-de-cookies (o "Política de Cookies")

En algunos casos, el aviso legal y la política de privacidad se fusionan en un solo documento extenso. Esto es legalmente válido pero puede dificultar la lectura. Separarlo en documentos distintos es más claro para el usuario.

Qué pasa si falta alguno

Sin aviso legal: Infracción de la LSSI, sancionable con multas de hasta 30.000 euros en casos graves, aunque en la práctica las sanciones por este motivo suelen ser menores.

Sin política de privacidad (teniendo formularios): Infracción del RGPD. La AEPD puede sancionar. Además, cualquier dato que hayas recabado sin informar adecuadamente al usuario fue recabado de forma ilícita.

Sin política de cookies (usando cookies no técnicas): Infracción de la LSSI y del RGPD. La AEPD ha sancionado específicamente por este motivo en numerosas ocasiones.

¿Puedo usar plantillas de internet?

Puedes usarlas como punto de partida, pero debes personalizarlas. Una política de privacidad que menciona actividades que no realizas, o que no menciona las herramientas que sí usas, no cumple su función legal. La AEPD puede considerar que una política genérica no satisface el requisito de información específica que exige el RGPD.

El mínimo es que tu nombre, tus herramientas y tus finalidades concretas estén reflejados correctamente.