Una forma de crear una web sin que le afecte la LOPD

Buenos días,

voy a plantear la idea de crear una web con registro de usuarios sin que le afecte la LOPD, a ver si a alguien se le ocurre si podría afectarle de alguna forma esta ley:

la idea sería que cuando te pide registro, se diera de alta el usuario y la contraseña elegidos por el usuario pero se le pidiera también el email, aunque éste sólo fuera para reenviarle un correo con el registro de su usuario y contraseña (nunca guardaremso el e-mail en nuestra base de datos). Con esto, podríamos enviar un correo al usuario con los siguientes datos:
- Usuario
- password
- Clave autogenerada y única (la guardaríamos en nuestra base de datos)
- Fecha de alta en la web (la guardaríamos en nuestra base de datos)
- Advertencia de que si no se entra en la web en X meses se borrará el usuario, por si alguien pierde el correo de registro y se registra con dos usuarios o más, para no tener demasiado acumulados sin actividad.

Con todo esto, si hace falta que el usuario recupere la clave o el usuario, se le pediría la clave y la fecha y el usuario. El único problema que veo es que alguien pierda su correo, pero puede valer la pena.

¿Creéis que le afectaría la LOPD de esta forma?

El punto más vulnerable (jurídicamente hablando) de ese planteamiento sería el del correo electrónico. Creo recordar que la LOPD no especifica por cuánto tiempo almacenas un dato considerado personal -el email en este caso-, sólo el hecho de que lo has solicitado al usuario, cliente o lo que sea. Tal vez un estudio más minucioso de esa ley descubra que se contemplan aplicaciones más flexibles de la misma en según qué casos, aunque yo desde luego no he encontrado nada en ese sentido.

Suerte y un saludo

Estoy de acuerdo con Ekbrilo. El punto mas peliagudo es el dichoso email, pero es un elemento necesario para recordar la contraseña en caso de olvido. Ahora bien, puedes cambiar este dato por una pregunta secreta.
Quedaria así:
- Usuario --> Sería un NickName. Nunca el nombre real del usuario.
- password --> OK
- Clave autogenerada y única (la guardaríamos en nuestra base de datos) --> OK
- Fecha de alta en la web (la guardaríamos en nuestra base de datos) --> OK
- Advertencia --> OK
- Pregunta secreta (algo del tipo, indica el nombre de pila de tu abuelo paterno o nombre de tu primera mascota. Tiene que ser algo poco genérico, porque si pones "nombre de tu ciudad", basta con conocer el nickname para entrar en la cuenta de este usuario.
Tambien puede ser una combinación de preguntas. date cuenta que esto sólo se usa en caso de pérdida del password. Incluso puede ser como una segunda clave elegida por el usuario a modo de código PUK de los móviles.

¡¡¡Muchas gracias a los dos, la verdad es que lo que dices de la segunda pregunta o clave es lo que había pensado como alternativa al e-mail. creo que podría funcionar!!!

¡¡¡Un saludo!!!

¿Y habéis pensado en si alguien pone su nombre y apellido en el nombre de usuario?
¿guardaras y/o registrarás las IP?

¿Y si lo pone en la contraseña?
¿Y si lo pone como respuesta a la pregunta secreta?

La cuestión no creo que sea esa, sino los datos que tu pides. En ningún momento pides su nombre y apellidos reales, sino un apodo (o nick). Si pone su numero de tarjeta y contraseña en su nick, de quien es la culpa?

la contraseña, lo suyo es que esté encriptada.

No sé que web está pensando hacer, pero debe tener en cuenta ese "handicap" (apodos con nombre y apellidos). Depende del tipo de web que haga, la finalidad, lo que vaya a mostrar y como vaya usar esos datos, etc.

Te puedo asegurar que hay gente que pone nombre y apellidos en los apodos o nicks. Pero en cambio, por ahora, no he visto a nadie poner el nº tarjeta como apodo.... Poner un nombre y apellido en un apodo no es tan descabellado e ilógico. ¿Y si ese apodo luego hace público?

No soy abogado, así que desconozco que puede pasar en caso que uno se rebote...Pero yo no pondría la mano en el fuego.

¿tampoco va a registrar las IP?
¿la única medida de seguridad es una respuesta a una pregunta secreta?!

No obstante deberás dejar bien clarito, para que no haya sorpresas y no vulneres la privacidad de nadie, lo que haces, lo que vas a hacer y lo que hay.



un saludo

Eso ya sería una imprudencia de ese alguien. De todas formas siempre se puede incluir un aviso previo al registro de que el nick a escoger no sea un nombre propio y un apellido, sino cualquier otra palabra. Yo tampoco soy muy ducho en temas legales, pero no parece muy lógico obligar al webmaster a que tutele todas y cada una de las iniciativas que emprenda un usuario a quien además se le ha advertido de las condiciones de uso de la web. Lo contrario sería no sólo injusto sino sencillamente imposible.

Un saludo

Tienes razón, sería ya rizar el rizo en cuestiones LOPD.
Pienso que se puede limitar el número de caracteres a x cantidad (por ejemplo 12) y forzar a que al menos 4 de ellos sean números. Obviamente si alguien pone 1234julianca, podrás "deducir" que se llama julian, nada más y como dices el que vulnera su propio derecho a la protección de datos es el usuario al mostrar su nombre en el nickname.
También, como nombre del campo, puedes poner algo como "seudónimo" ó "nickname" y no "nombre de usuario" que se presta a confución.

Para que no le queden dudas, lo mejor es preguntarlo a la AEPD. A ver que piensan ellos.

En el caso que lo preguntaras, dí que te han dicho.

claro, por eso lo comentaba. que lo ponga claro que es lo que hace y no con los datos.

No obstante, sigo pensando que lo debería preguntar en la aepd.