LSSI: El prestador de servicios.

Dice el artículo 1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) que es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúen como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.”
Y la primera pregunta que debemos hacernos para saber si esta legislación me afecta o no, es:
¿Y qué es un prestador de servicios según la LSSI?
Pues nos lo responde la propia norma, en su ANEXO de definiciones, al que nos remite su Disposición Adicional 1ª.
Letra c): Prestador de servicioso prestador: persona física o jurídica que proporciona un servicio de la sociedad de la información.
¿Soy un prestador de servicios, por tanto, sujeto a la LSSI?
Antes tenemos que saber qué es un servicio de la sociedad de la información.
Letra a) del Anexo (el subrayado es mío):
Servicios de la sociedad de la información o servicios: todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.
El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.
Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:
1.      La contratación de bienes o servicios por vía electrónica.
2.      La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
3.      La gestión de compras en la red por grupos de personas.
4.      El envío de comunicaciones comerciales.
5.      El suministro de información por vía telemática.
Pues sí: lo que te temías. Simplemente si tienes una web informativa sobre tu negocio ya tienes que hacer la adaptación a la LSSI. Ten en cuenta que es una forma indirecta de generarte ingresos, como cualquier otro sistema de publicidad.
Bienvenido al maravillo mundo de la LSSI, porque tú no te libras.

Adaptación legal de webs

Si eres un profesional o empresario y tienes una página web por medio de la que prestas servicios, vendes productos o en la que das información sobre tu negocio, debes cumplir con la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).
Si tu web no está adaptada a dicha normativa te arriesgas a ser sancionado con multas que pueden alcanzar los 600.000 euros.
En la mayoría de los casos, la adaptación consiste en la inclusión de un aviso legal que deberá contener los datos y la información que se detallan en los artículos 9 a 12 bis de la mencionada norma.
Por supuesto, no necesitas a un informático para esto y mucho menos a un abogado.
Puedes intentarlo tú mismo.
O ver si el frutero de la esquina también sabe algo del tema…
Total, por una multa de 30.000 euritos de nada… (ni se te ocurre llamarme cuando la recibas, eso sí).
Que la suerte te acompañe.

ISO 27001: Incidentes seguridad

Entre otras muchas cuestiones, la norma ISO 27001 se preocupa por la regulación de los incidentes de seguridad que puedan afectar a la información (perdida de datos, destrucción de equipos informáticos, documentación, etc…). Estos incidentes deberán ser registrados y comunicados al responsable de la organización, y para ello se establecerá un procedimiento concreto.
Se trata, además, de una obligación legal que viene ya impuesta por la Ley 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal y por el Real Decreto 1720/2007, por el que se aprueba el Reglamento que la desarrolla.
Así, en el artículo 90 del citado Reglamento, ya se dispone que “deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas”.
La norma ISO 27001, establece una serie de posibles controles a aplicar para gestionar los incidentes que afecten a cualquier tipo de información dentro de la FGUMA, con el objetivo final de asegurar que los eventos y debilidades de seguridad de la información sean comunicados de una manera tal que permita que la acción correctiva sea tomada oportunamente. Los controles pueden consistir en:
  1. Reporte de los eventos de seguridad: Se ha de dejar constancia y  comunicar los eventos de seguridad de la información a través de los canales de gestión apropiados tan rápidamente como sea posible.
  1. Reporte de debilidades: Se pedirá a empleados, contratistas y usuarios que detecten e informen sobre cualquier debilidad en la seguridad de los sistemas o servicios que se haya observado o sospechado.
  1. Responsabilidad y procedimientos: La organización fijará quiénes son los responsables de la gestión de incidentes y los procedimientos a seguir, a fin de asegurar una respuesta rápida, eficaz y ordenada.
  1. Aprendizaje de los incidentes: Se establecerán mecanismos que permitan cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los incidentes de seguridad.
  1. Recolección de evidencias: Si a consecuencia de un proceso judicial se hiciera un seguimiento contra una persona u organización por incidentes de seguridad, se recolectarán, conservarán y presentarán las pruebas conforme a la legislación aplicable en cada caso.