Login
E-MailE-Mail
Phone
0800-8976326 (inside Germany) or +49 711-94969-60

Información sobre el RGPD

El Reglamento General de Protección de Datos (RGPD) trae consigo una serie de cambios para los operadores de sitios web. En esta página ofrecemos información y notas importantes.

Contenido

Nota importante

Los textos de esta página son meramente informativos y no constituyen asesoramiento jurídico. Recomendamos los servicios de un abogado a la hora de formular contratos y avisos en el sitio web. Hemos recopilado la información con sumo cuidado, pero no podemos asumir ninguna responsabilidad por ella.
La información de esta página se actualiza de forma continua. Estado: 24.5.2018

Para más información, podemos recomendarle el siguiente libro

"Reglamento general de protección de datos de la UE en las empresas", de Tim Wybitul

Introducción

El Reglamento General de Protección de Datos (RGPD) regula el tratamiento de los datos personales. Se aplica de manera uniforme en toda la UE. En otros países se están aplicando normativas similares basadas en el RGPD.

El GDPR fue aprobado por el Parlamento de la UE el 14 de mayo de 2016 y entrará en vigor el 25 de mayo de 2018. Sustituye a la anterior Ley Federal de Protección de Datos (BDSG). Las disposiciones del GDPR se aplican en toda la UE, lo que significa que no es necesario transponerlo a la legislación nacional. Sin embargo, los estados tienen la opción de especificar las disposiciones del GDPR, lo que se hace en la nueva BDSG.

El RGPD se aplica a cualquiera que procese datos personales como responsable del tratamiento o por cuenta de un responsable y ofrezca estos servicios dentro de la UE. Las empresas, sitios web o tiendas de fuera de la UE que ofrecen sus servicios en la UE también se ven afectados por el GDPR.

Ámbito de aplicación

El RGPD afecta a todas las empresas que procesan datos personales. Además del sitio web, esto incluye muchos otros ámbitos, como la contabilidad de nóminas, eventos, entregas, transacciones de pago, etc.

La información de esta página se refiere únicamente a los sitios web y al alojamiento asociado.

Diferencia entre el GDPR y la anterior BDSG

Muchas disposiciones del RGPD ya estaban reguladas anteriormente en la Ley Federal de Protección de Datos. Por tanto, para las empresas alemanas, los cambios no son tan graves como podrían serlo en otros países. No obstante, existen algunas diferencias significativas:

  • Se invierte la carga de la prueba. Antes, una empresa tenía que demostrar una infracción de la BDSG. En el futuro, la empresa tendrá que demostrar que no ha incumplido el GDPR. También hay amplias obligaciones de documentación por parte de las empresas
  • Sanciones drásticamente más elevadas. Anteriormente, las infracciones de la BDSG se sancionaban con una multa.
    En casos individuales, esta podía ser de hasta 50.000 o 300.000 euros (en caso de intención). Con el GDPR, son posibles multas de hasta 20 millones de euros o el 4% de la facturación anual. El artículo 83 del GDPR establece que: "Cada autoridad de control velará por que la imposición de multas [...] por infracciones del presente Reglamento ...sea efectiva, proporcionada y disuasoria en cada caso concreto".

Información para operadores de sitios web

Todos los operadores de sitios web están obligados a cumplir el RGPD. Solo están exentos los sitios web privados. En cuanto un blog privado contiene enlaces de afiliados o publicidad, por ejemplo, también se aplica el RGPD.

En primer lugar, se requiere la celebración de un contrato para la tramitación de pedidos entre el operador del sitio web y el proveedor de alojamiento.

Ofrecemos a nuestros clientes la celebración del correspondiente contrato a través del menú del cliente (opción de menú General->Contrato GDPR).

Almacenamiento de archivos de registro

Los datos se almacenan en archivos de registro como parte del proceso de alojamiento para garantizar la seguridad de nuestros sistemas de tecnología de la información. Estos datos no se analizan con fines de marketing. Nuestro interés legítimo en el tratamiento de los datos reside en los fines antes mencionados.

A continuación figura una lista de los datos recogidos en los archivos de registro:


  1. Servidor web Apache En los archivos de registro del servidor web se almacenan datos cada vez que se accede al sitio web. Los datos son necesarios para garantizar el funcionamiento y analizar los ataques al sitio web. Los datos se borran al cabo de 7 días. Se almacenan los siguientes datos
    1. Dirección IP
    2. Fecha y hora de la solicitud
    3. Diferencia horaria con respecto a GMT
    4. Contenido del sitio web
    5. Estado de acceso (estado HTTP)
    6. Cantidad de datos transferidos
    7. Sitio web desde el que accedió a nuestro sitio web
    8. Navegador web
    9. Sistema operativo

    10. Idioma y versión del navegador

  2. Servidor FTP/SFTP Los datos se almacenan en los archivos de registro del servidor FTP/SFTP cada vez que se accede a él. Los datos se borran al cabo de 30 días. Se almacenan los siguientes datos
    1. Dirección IP
    2. Nombre de usuario
    3. Fecha y hora de la solicitud
    4. Diferencia horaria con respecto a GMT
    5. Información sobre si se ha descargado o subido un archivo
    6. Ruta y nombre del archivo transferido
    7. Cantidad de datos transferidos

  3. Acceso SSH Los datos se almacenan en los archivos de registro del servicio de terminal al iniciar sesión. Estos datos se borran al cabo de 30 días. Se almacenan los siguientes datos
    1. Dirección IP
    2. Nombre de usuario
    3. Fecha y hora de la solicitud

  4. Registro de errores de Apache En caso de error, los mensajes del servidor web Apache se almacenan en archivos de registro. Estos datos se borran como máximo al cabo de 30 días. Se almacenan los siguientes datos
    1. Dirección IP
    2. Fecha y hora del error
    3. Código de error
    4. Mensaje de error en forma de texto

  5. Registro de errores MySQL En caso de error, los mensajes del servidor de base de datos MySQL se guardan en archivos de registro. Estos datos se borran como máximo al cabo de 30 días. Se guardan los siguientes datos
    1. Dirección IP
    2. Fecha y hora del error
    3. Nombre de la base de datos utilizada
    4. Código del error
    5. Mensaje de error en forma de texto, incluida la consulta a la base de datos utilizada si procede

  6. Registro del servidor de correo Los metadatos se almacenan en los archivos de registro del servidor de correo y se eliminan al cabo de 7 días. Se almacenan los siguientes datos
    1. Remitente
    2. Destinatario
    3. Hora de envío
    4. Dirección IP del remitente
    5. Tamaño del correo electrónico

Estos datos no se almacenan junto con sus otros datos personales.

Los archivos de registro no se almacenan en la cuenta del cliente. Para los registros de acceso a Apache, el cliente puede activar la extracción de los datos que le conciernen y el almacenamiento en el directorio /weblogs de la cuenta de cliente para cada dominio a través del menú de cliente. En este caso, el propio cliente es responsable de la eliminación de los datos. El alcance de los datos corresponde a la información mencionada en el punto 1). Al activar la creación de los registros de acceso a Apache extraídos, puede especificar si los datos se eliminan automáticamente al cabo de 7 días.

En las tarifas de alojamiento en nube, los registros de acceso de Apache y Nginx se almacenan en el directorio /logs/[Domainanme]/. Las direcciones IP de estos registros se anonimizan una vez al día.

A partir del 25 de mayo de 2018, la dirección IP se anonimizará en los archivos de registro FTP y en el registro del menú del cliente.

TYPO3 y el GDPR

¿Qué cookies instala TYPO3?


TYPO3 versión hasta 6.1: Se establece una cookie de sesión 'fe_typo_user' cuando se accede a la página web. El establecimiento de cookies se puede evitar en la herramienta de instalación con el ajuste "dontSetCookie", pero entonces no es posible el inicio de sesión (por ejemplo, para grupos de usuarios cerrados).


A partir de la versión 6.2 de TYPO3:La cookie "fe_typo_user" sólo se establece si es necesario (por ejemplo, para la función de inicio de sesión). La opción "dontSetCookie" se ha eliminado porque ya no es necesaria.

Esta información se aplica a la configuración estándar de TYPO3. Al utilizar funciones adicionales (por ejemplo, Google Analytics, Matomo/Piwik, Facebook Pixel, programas de afiliación, etc.), se establecen otras cookies.

¿Se almacenan las direcciones IP en TYPO3?

Las direcciones IP se almacenan en varias tablas de la base de datos de TYPO3:


Tabla sys_log: En esta tabla se almacenan los eventos del sistema. Estos incluyen los procesos de inicio de sesión en el backend (editores), sino también los mensajes de error al llamar a la página web. La tabla sys_log se puede eliminar automáticamente después de un número configurable de días a través de una tarea en el planificador.


Tabla index_stat_search: cuando se utiliza la extensión indexed_search (extensión del sistema), se registran las consultas de búsqueda.


Tabla tx_solr_statistics: Al utilizar la búsqueda Solr (extensión adicional) y activar la función de estadísticas, las consultas de búsqueda se registran junto con la dirección IP.


Tabla tx_powermail_domain_model_mail: Al utilizar la extensión Powermail (extensión adicional), la dirección IP del remitente se guarda junto con los correos electrónicos enviados.

Las direcciones IP no se anonimizan automáticamente. Sin embargo, desde la versión 7.6 de TYPO3, existe una tarea de programación que puede utilizarse para anonimizar las direcciones IP en las tablas de la base de datos.

Si se utilizan otras extensiones, éstas también pueden almacenar direcciones IP en la base de datos.

¿Qué datos se almacenan sobre los redactores?

Los siguientes datos personales se almacenan para los usuarios de backend en TYPO3 (editores y administradores):

  • Nombre y dirección de correo electrónico
  • Contraseña (encriptada)
  • Detalles de la autorización de acceso (qué páginas, campos y archivos pueden editarse)
  • Hora del último inicio de sesión
  • Registro de los cambios realizados

Los datos se guardan en las tablas be_users, sys_log y sys_history. Además, casi todos los registros de datos registran qué usuario los creó y cuándo (cruser_id y crdate).

Formulario de contacto, Inicio de sesión: se requiere certificado SSL

Si un sitio web tiene un formulario (de contacto o de registro) u ofrece una función de inicio de sesión, según la Ley de Telemedia se requiere una transmisión cifrada de los datos. Para ello, se crea un certificado SSL para el dominio o dominios. Mediante una entrada en el archivo .htaccess en el directorio de inicio del dominio, todas las solicitudes no cifradas se redirigirán a la conexión cifrada.

Al cambiar a https://, también debe prestarse atención a que ningún elemento del sitio web (por ejemplo, archivos JavaScript o iFrames) se integre a través de una conexión no cifrada. En este caso, la integración también debe cambiarse a https://.

Si en la página web se ha establecido una entrada <base> (p. ej., en TYPO3 mediante el ajuste config.baseURL), también deberá cambiarse a https://.

¿Qué hay que tener en cuenta para el contenido del sitio web?

Es necesario formar cuidadosamente a los redactores para que conozcan la normativa legal que regula el almacenamiento y la publicación de contenidos.

El contenido de un sitio web puede contener datos personales, por ejemplo, fotos de empleados o personas en eventos (obtener autorización para su publicación) o listas de resultados en el deporte (por ejemplo, nombre, año de nacimiento, rendimiento alcanzado).

El operador de un sitio web también debe estar preparado para proporcionar a una persona información sobre los datos almacenados y para eliminarlos a petición. Dicha supresión también debe realizarse en las copias de seguridad existentes, de modo que los registros de datos eliminados no vuelvan a aparecer cuando se restauren los datos.

Integración de botones de redes sociales y Google Maps

La integración de botones de redes sociales y otros servicios externos suele realizarse mediante un fragmento de código JavaScript proporcionado por el proveedor correspondiente.

Sin embargo, cuando se accede al sitio web, los datos ya se transmiten al proveedor externo sin que el visitante pueda oponerse a ello.

En este caso puede utilizarse una solución de 2 clics. El visitante debe activar explícitamente la transferencia de datos haciendo clic. Desde heise.de existe el <LINK www.heise.de/ct/ausgabe/2014-26-Social-Media-Buttons-datenschutzkonform-nutzen-2463330.html - - "Integrar botones de medios sociales en cumplimiento de la protección de datos: Procedimiento Shariff de heise.de">Solución Shariff. Una solución de este tipo también es necesaria, por ejemplo, para integrar Google Maps en un sitio web. Para ello, se puede activar una función en nuestra<LINK extensions.typo3.org/extension/maps2/ - - "Extensión TYPO3 para la integración de Google Maps, incluida la activación conforme a la protección de datos de la visualización mediante clic explícito del visitante">extensión TYPO3 maps2, en la que el mapa solo se muestra tras un clic del visitante.

Integración de fuentes externas

Muchos sitios web utilizan fuentes especiales para su diseño. Estos archivos de fuentes se cargan cuando se accede al sitio web, ya sea desde el mismo servidor que el sitio web (inofensivo en términos de protección de datos) o desde un proveedor de servicios externo (por ejemplo, <LINK fonts.google.com>fonts.google.com ). Si los datos se cargan desde un servidor externo, también se transfieren datos personales: la dirección IP del usuario.

En este caso, se recomienda guardar los archivos de fuentes localmente en el espacio web (si las condiciones de licencia del proveedor lo permiten).

Integración de jQuery y otras bibliotecas

Los sitios web utilizan a menudo bibliotecas Javascript, como jQuery. A menudo se cargan directamente desde el proveedor o desde un dominio externo. Sin embargo, los datos se transmiten al proveedor cuando se carga la biblioteca.

En este caso, es aconsejable guardar la biblioteca localmente en el paquete de alojamiento e integrarla en el sitio web desde allí (si las condiciones de la licencia lo permiten). Esto tiene la ventaja adicional de que el sitio web puede cargarse sin problemas incluso si, por ejemplo, el servidor del proveedor no está disponible.

Uso de Google Analytics, Matomo/Piwik, etc.

El uso de herramientas para analizar a los visitantes sigue estando permitido, pero hay que asegurarse de que la dirección IP sea anónima. Esto puede configurarse en las herramientas respectivas.

Al utilizar herramientas externas (por ejemplo, Google Analytics), también es necesario celebrar un contrato de procesamiento de pedidos con el proveedor (por ejemplo, Google).

En el caso de Matomo (antes Piwik) no suele ser necesario un contrato de este tipo, ya que esta herramienta puede ser alojada por el usuario y, por tanto, no se transfieren datos a un proveedor externo.

Aviso legal y protección de datos

Todo sitio web utilizado con fines comerciales debe tener un aviso de cookies y un aviso de protección de datos.
Debe crearse una página separada para ambas informaciones, a la que se pueda acceder directamente desde cada página a través de un enlace (por ejemplo, en el pie de página). Atención: el aviso sobre cookies que se muestre no debe ocultar los enlaces al aviso legal y a la página de protección de datos.

Si crea usted mismo el contenido del aviso legal y del aviso de protección de datos, debería hacerlo revisar por un abogado si es posible. La falta de información o una redacción incorrecta pueden dar lugar a costosas advertencias.

También existen generadores especiales para crear formulaciones conformes a la ley para impresión y aviso de protección de datos.

Uso de boletines electrónicos

Quien envíe un boletín por correo electrónico debe tener en cuenta algunos puntos importantes:

Al registrarse, sólo la dirección de correo electrónico puede ser obligatoria; es la única información necesaria para el envío. Actualmente no está claro si se puede recoger más información [voluntaria] en el formulario de registro (por tanto, es mejor omitirla).

El procedimiento de doble opt-in es necesario para el registro. El consentimiento debe registrarse como prueba del registro.

Se requiere un enlace para darse de baja directamente en cada boletín enviado. La cancelación de la suscripción debe ser inmediata y no debe haber ninguna confirmación posterior de la cancelación de la suscripción por correo electrónico.

Si se recurre a un proveedor de servicios externo para el envío del boletín, debe celebrarse con él un contrato para la tramitación del pedido. El contratista debe cumplir las disposiciones del RGPD (aunque tenga su sede en EE.UU., por ejemplo).

Estado del arte: mantener el software al día

Según el artículo 13, apartado 7 Ley de Telemedia los proveedores comerciales de sitios web están obligados a mantener sus sitios web actualizados con la última tecnología. Esto incluye, en particular, el uso de software actualizado y actualizaciones de seguridad. Encontrará más información al respecto en en el sitio web de la BSI (Oficina Federal de Seguridad de la Información).

Aktualisiert: 07.01.2025