¿Sabes que pueden sancionarte por tener una web no segura?
Antes de analizar si pueden sancionarte por tener una web no segura, vamos a explicarte como identificar una web segura y que son los protocolos http y https.
¿Cómo saber si una web es segura?
Como usuario de internet, cuando entres a una página web es importante que te fijes si la URL empieza por https:// o tiene el símbolo de un candado, sobretodo si a través de dicha página web vas a proporcionar datos personales (tu nombre, apellidos, DNI, nº de tarjeta, domicilio, etc.).
La dirección o URL de todas las páginas web disponibles en internet siempre empieza con las siglas http:// o https://. Estas siglas hacen referencia al protocolo HTTP, en español, Protocolo de Transferencia de Hipertexto, que utiliza el servidor donde se encuentra alojada la web para comunicarse con el navegador de tu dispositivo.
¿Cuál es la diferencia entre http y https?
Las páginas web que utilizan tecnología http no cifran las transferencias de datos entre tu navegador y el servidor donde se encuentra alojada dicha página web. Por lo tanto, dichos datos podrían ser interceptados por terceros no autorizados.
Por el contrario, las páginas web que utilizan el protocolo https cifran o encriptan las transferencias de datos entre tu navegador y el servidor donde se encuentra alojada dicha página web, de modo que resulta prácticamente imposible que estos datos puedan ser interceptados por terceros.
En consecuencia, si utilizas una página web con protocolo http y no https debes tener en cuenta que todos los datos que introduzcas en la misma (tu nombre, apellidos, DNI, nº de tarjeta, domicilio, etc.) se enviarán al servidor donde dicha web se encuentra alojada sin cifrarse, hecho que facilita la interceptación de dichos datos por parte de terceros.
Las consecuencias de utilizar protocolos http en tu página web
La primera consecuencia es, tal y como se comentaba en el punto anterior, el riesgo de que los datos de tus usuarios web sean interceptados por terceros, con las implicaciones y perjuicios que este riesgo puede conllevar tanto a los titulares de los datos como al responsable de la página web, al tratarse, según lo establecido en el RGPD, de un brecha de seguridad.
Sobre lo anterior, no resultaría extraño que más de un usuario web decida no poner en riesgo sus datos y opte por no comprar un determinado servicio o producto si la página web que lo oferta no utiliza una tecnología o protocolo de cifrado de datos https. Sobre todo, si tenemos en cuenta que la mayoría de los navegadores web advierten a sus usuarios si las páginas web a las que están accediendo son seguras o no. Es decir, si utilizan un certificado o protocolo no seguro (http) o bien, si utilizan un certificado o protocolo seguro (https).
La segunda consecuencia, podría llegar en forma de requerimiento o sanción de la Agencia Española de Protección de Datos (AEPD), por infracción de lo establecido en el artículo 32, sobre seguridad del tratamiento de datos personales, del Reglamento General de Protección de Datos – EU 675/2016- (RGPD)..
¿Pueden sancionarme por tener una web no segura (que usa http y no https)?
Antes de preguntarte si pueden sancionarte por no usar un protocolo o certificado https en tu web, es decir, que encripte o cifre la información que se transmite entre los dispositivos de tus usuarios web y el servidor donde se encuentra alojada tu web. Debes preguntarte qué datos de tus usuarios web tratas, recoges o almacenas a través de tu página web y en que país está ubicado el servidor en el que se encuentra alojada tu web, pues podría estarse produciendo una transferencia internacional de datos, hecho que según el RGPD implica mayores obligaciones para el responsable.
No es lo mismo tener una página web meramente informativa donde no se permita a los usuarios introducir datos personales, que tener una tienda online, donde los usuarios que quieran comprar productos o servicios deban facilitar sus datos de contacto y/o datos bancarios (nº de cuenta o de tarjeta).
Si tu página web permite el tratamiento de datos personales de tus usuarios web, ya sea porque contiene un formulario de contacto, permite el registro de usuarios o por tratarse de una tienda online, por poner algunos de los ejemplos más frecuentes, sí que deberías utilizar certificados o protocolos de seguridad que encripten la transferencia de datos entre los dispositivos de tus usuarios web y el servidor donde se encuentra alojada tu web (https). Si no lo haces, debes tener en cuenta que tu conducta puede considerarse como una infracción del artículo 32 del RGPD.
Si tu página web es solo informativa y no permite la recogida de ningún dato personal de los usuarios que accedan a esta, en principio no estarías expuesto a una posible sanción al no transmitirse datos personales o confidenciales entre el navegador de tus usuarios y el servidor donde se almacena tu web.
Esperamos que este artículo te haya sido de utilidad. Si deseas leer la sanción completa puedes hacerlo siguiendo este enlace, y si deseas consultar más artículos como este, puedes hacerlo a través de nuestra web y siguiéndonos en redes sociales: LinkedIn, Facebook y Twitter.
Si te ha quedado alguna duda o necesitas asesoramiento sobre cómo cumplir la normativa de protección de datos vigente contacta con nosotros y te ayudamos.