Políticas de Privacidad en Ecommerce: Ejemplos y Mejores Prácticas

La privacidad y la seguridad de la información personal de los usuarios son de vital importancia en el mundo del comercio electrónico. Para establecer una relación de confianza, los operadores de una página web deben ofrecer a sus usuarios una política de privacidad web completa que informe sobre el tipo de datos que serán recolectados, así como la forma en que se compilarán y, finalmente, cuál será el uso que se les dará. Además, una política de privacidad completa proporcionará información sobre las medidas de seguridad que se aplicarán en el proceso de recopilación de datos.

¿Qué es una Política de Privacidad?

Una política de privacidad (privacy policy) es una presentación por escrito de todas las medidas que aplica una empresa u organización para garantizar la seguridad y el uso lícito de los datos de los usuarios o clientes que recoge en el contexto de la relación comercial. La política de privacidad web también describe en detalle la forma en que se recolectan, se almacenan y se utilizan estos datos, así como si se envían a terceros y, en caso afirmativo, de qué manera.

En esta política de privacidad facilitamos a los usuarios información general sobre el uso que Clubecommerce hará de sus datos personales a través de nuestra web, a quiénes podemos comunicarlos, el tiempo de conservación, y los derechos que la normativa vigente les otorga para proteger su privacidad.

Aprobado en 2016, pero aplicado de facto desde mayo de 2018, el Reglamento General de Protección de Datos (RGDP) refuerza a nivel europeo los derechos del consumidor al respecto del control de su privacidad. El reglamento establece un marco legal que afecta a todos los estados miembros de la Unión. Para adaptarse a las nuevas exigencias europeas, se aprobó en España, en diciembre de 2018, la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), que reemplazó así a la LOPD de 1999.

El Reglamento General de Protección de Datos (RGPD) obliga a las páginas web a tener una política de privacidad completa, clara y actualizada.

En cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), así como con la Ley Federal de Protección de Datos Personales en Posesión de Sujetos Obligados (LFPDPPS), le informamos que la empresa ECOMMERCE ETC, S.L.

En cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), así como con la Ley Federal de Protección de Datos Personales en Posesión de Sujetos Obligados (LFPDPPS), te informamos sobre los aspectos clave de estas políticas y te proporcionamos ejemplos prácticos.

Asimismo, es crucial prestar atención a la redacción: debe ser exacta, precisa y clara, evitando, por ejemplo, el uso de términos muy técnicos o legalmente complicados. Dependiendo del perfil de los clientes o del grupo de usuarios de tu web, puedes redactar la política de privacidad en varios idiomas para que sea también accesible a visitantes que no hablen español. Prestar atención a lo indicado en el artículo 12 del RGPD es muy importante.

Para poder gestionar tu compra en línea o darte de alta en cualquiera de nuestras tarjetas de fidelización, así como para que podamos atender todas tus dudas, consultas y sugerencias, necesitaremos tratar tu información personal. Se trata de información personal básica: tu nombre y apellidos, tus datos de contacto y tu dirección postal, así como los datos necesarios para tramitar el pago de las compras.

Si necesitas ponerte en contacto con nosotros, puedes hacerlo a través de nuestro servicio de atención al cliente, por correo electrónico o por teléfono, así como a través de las redes sociales. En estos casos, también estaremos recopilando tus datos personales para poder darte respuesta.

Todos los usuarios tienen la oportunidad de unirse a nuestras redes sociales o grupos. Para ello podrá emplear los formularios habilitados por la organización, o bien dirigir un escrito a la dirección postal o correo electrónico referenciados en el encabezamiento.

El interesado garantiza que los datos aportados son verdaderos, exactos, completos y se encuentran actualizados; comprometiéndose a informar de cualquier cambio respecto de los datos que aportara, por los canales habilitados al efecto e indicados en el punto uno de la presente política.

¿Cuándo es obligatorio tener una política de privacidad web?

Sí, la política de privacidad para una tienda online es un texto legal que obligatoriamente debes tener accesible desde cualquiera de sus secciones y con un enlace en todos los formularios que uses en tu tienda.

En la actualidad es prácticamente imposible gestionar un sitio web sin recopilar datos. Por ello todo sitio web debería contar con su política de privacidad. Aunque, mientras que la recopilación de datos y, por lo tanto, la redacción de una política de privacidad, son fácilmente justificables para una tienda online, la situación cambia si se trata de otro tipo de servicios.

Para el caso de que nuestra página web recoja datos personales mediante formulario para crear un perfil y dejar un comentario, participar en un foro, inscribirse en una suscripción para recibir newsletter… La política de privacidad online debe estar inmediatamente después del formulario y justo antes de realizar el registro de datos.

Por ejemplo, la política de privacidad en WordPress se añade creando una página para ella, un menú de enlaces dónde colocarla e insertando dicho menú en el footer a través de un Widget.

Básicamente, cualquier página web, sea del tipo que sea, tiene la obligación de incorporar una página de política de privacidad en ella para cumplir con el RGPD y la LOPDGDD.

Consecuencias de no tener una política de privacidad

El RGPD no solo limita el campo de acción de las empresas en cuanto a la obligación de disponer y formular una política de privacidad, sino que aumenta la cuantía de las sanciones por incumplimiento hasta los 20 millones de euros o a un cuatro por ciento del volumen de negocios mundial anual en el caso de una empresa (se aplicará el valor más alto).

Una política de privacidad incorrecta puede generar sanciones importantes (hasta 20 millones de euros o el 4% de tu facturación global, según el RGPD).

¿Qué debe incluir una política de privacidad?

En teoría, todo administrador web debe informar a sus usuarios sobre la recolección y protección de sus datos e información personal antes de iniciar cualquier tipo de actividad. En la práctica, resulta un poco complicado, por lo que es común que se informe a los usuarios en el mismo momento de la recolección de sus datos.

Como en el caso del Aviso Legal, la política de privacidad debe ser clara y accesible desde cualquier página, por lo que es necesario crear una página única y exclusivamente para este fin.

La presente política de privacidad puede verse modificada/actualizada en función de las exigencias legales establecidas o con la finalidad de adaptar dicha política a las instrucciones dictadas por la Agencia Española de Protección de Datos, o a consecuencia de cambios en nuestro sitio web.

Una política de privacidad efectiva debe incluir la siguiente información:

1. Datos de contacto del responsable o de su representante
2. Información sobre la finalidad del tratamiento
3. Terceros destinatarios de los datos personales
4. Transferencias internacionales
5. Plazo de conservación de los datos
6. Derechos ARSULIPO
7. Explicación sobre el uso de decisiones individuales automatizadas

Si un proyecto online presta servicios que demandan información detallada sobre sus usuarios, será imprescindible contar con una política de protección de datos.

A continuación, explicamos estos derechos más ampliamente.

Datos de contacto del responsable o de su representante

Conforme al RGPD, es necesario señalar en la política de privacidad los datos de contacto de la empresa o de sus representantes. Además del nombre, tienen que indicarse las direcciones postales y electrónicas actuales, así como un número de teléfono. Si la sede de la compañía o del responsable principal se encuentra fuera del territorio de la UE, se deben indicar los datos de contacto de su representante oficial.

Lo mismo puede decirse cuando se trabaja con categorías especiales de información personal como las opiniones políticas, las convicciones religiosas o la procedencia étnica. En este caso, es necesario también mostrar en la política de privacidad los datos de contacto de esta persona.

Ejemplo:

Identidad del Responsable: Javier López RodríguezNombre comercial: Ecosistema EcommerceNIF/CIF: 08990420LDirección: Calle Palencia, 20 Alcalá de Henares, Madrid, España.

Información sobre la finalidad del tratamiento

Se informará sobre la finalidad del tratamiento, es decir, para qué serán usados los datos personales que se recojan (por ejemplo, fines estadísticos o para el envío de información).

En la declaración de privacidad de tu proyecto has de añadir a la base de licitud los objetivos que persigues al recolectar y tratar los datos de tus usuarios. Para ello, y para mostrar transparencia, es recomendable enumerar todos los componentes de tu web que colectan este tipo de información, como pueden ser estos: formularios de contacto, registro para el boletín, campos de entrada de datos, por ejemplo, para indicar los datos bancarios al final de una compra, códigos de seguimiento, plugins de terceros (botones sociales), contenido de terceros (YouTube), concursos, cookies.

Cuando se trate de integrar contenido ajeno, hay que ser muy cuidadoso, puesto que el RGPD fortalece la necesidad de informar al usuario antes de que tenga lugar la recogida de datos.

Ejemplos de finalidades:

• Formularios de suscripción a contenidos: Los datos facilitados serán utilizados exclusivamente para enviar la Newsletter y mantenerte actualizado sobre novedades y ofertas puntuales, exclusivas para suscriptores de Ecosistema Ecommerce.
• Formulario de contacto: En este caso se utilizará la dirección de correo electrónico para responder a las mismas y enviar la información que el usuario requiera a través de la web.
• Formulario de venta: también tratamos datos para gestionar la compra de servicios de consultoría o suscripción a los cursos de formación, incluyendo la gestión del pedido, el pago y todas las operaciones relacionadas con la contratación del servicio o producto elegido.

Terceros destinatarios de los datos personales

La declaración de privacidad debe informar a los usuarios de los terceros destinatarios a quienes enviaremos los datos personales, si esta cesión de datos se produce (por ejemplo, un e-commerce con contratistas externos como una plataforma de pago). Aquí también es necesario informar, si procede, de las cookies de terceros que están presentes en nuestro sitio web, puesto que están registran datos personales de nuestros usuarios.

La política de privacidad también es el contexto en el que se comunica al usuario si se envían datos personales a terceros. Este es también el apartado donde se reseñan implementaciones de cookies y extensiones de terceros, cuyo uso siempre va ligado a una entrega de datos personales.

Es el momento de nombrar a los códigos de seguimiento y a los botones sociales. En ambos casos, el responsable puede justificar su uso con un interés legítimo, pero es conveniente hacerlo con el consentimiento explícito del usuario.

Ejemplos de terceros destinatarios:

• Proveedores de servicios que gestionan las opiniones de los clientes sobre nuestros productos y servicios.
• Terceros independientes, siempre que sea necesario para prestarte el servicio, para cumplir una obligación legal o en base al legítimo interés.

Transferencias internacionales

Si la información se almacenará y se procesará fuera de la UE, es importante indicarlo. Por ejemplo, los datos que facilites al Titular estarán ubicados en los servidores de The Rocket Science Group LLC d/b/a, con domicilio en EEUU.

Si tienes la intención de enviar datos personales a un tercer país o a una organización internacional, este apartado es el lugar en el que indicarlo.

Plazo de conservación de los datos

Otra información con la que lograrás dar transparencia a tu tratamiento de los datos guarda relación con el tiempo durante el cual almacenarás los datos. Si no puedes formularlo con exactitud, puedes hacer referencia a los criterios que impactan en el plazo de conservación. Puedes, por ejemplo, hacer referencia al plazo que has configurado para la eliminación automática de las direcciones IP (anonimizadas) de los archivos de registro.

Datos de los Clientes: El periodo de conservación de los datos personales variará en función del servicio que el Cliente contrate.

• 5 años: Art. 1964 Código Civil (acciones personales sin plazo especial).
• 6 años: Art. 30 Código de Comercio (libros de contabilidad, facturas…).
• 10 años: Art. 25 Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

Derechos ARSULIPO

Tampoco puede faltar en la política de privacidad de la web la información referente a cómo pueden ejercer los usuarios sus derechos ARSULIPO (anteriores derechos ARCO, acceso, rectificación, supresión, limitación, portabilidad y oposición) y a través de qué canal hacerlo.

La normativa vigente de protección de datos le ampara en una serie de derechos en relación al uso que le damos a sus datos:

• Acceso
• Rectificación
• Supresión
• Limitación
• Portabilidad
• Oposición

El derecho a la información (o derecho al acceso como recoge el artículo 13 del LOPD-GDD) recogido en el artículo 15 garantiza que el usuario pueda informarse sobre los objetivos del tratamiento de sus datos, sus posibles destinatarios, el plazo de su conservación y su origen. Los usuarios también tendrían derecho a la rectificación, tal como se recoge en el artículo 16 e, incluso, según las circunstancias, a la eliminación de sus datos, con el derecho de supresión recogido en el artículo 17.

De acuerdo con el RGPD se considera interesado a la persona cuyos datos personales se procesan, motivo por el cual puede beneficiarse de los derechos reconocidos por esta directiva fundamental sobre protección de datos, que son: el derecho a la información (art. 15), de rectificación (art. 16), de supresión (art. 17), a la limitación del tratamiento (art. 18), de oposición (art. 21), a presentar una reclamación ante una autoridad de control (art. 77) y a la portabilidad (art. 20).

Explicación sobre el uso de decisiones individuales automatizadas

Cualquier decisión automatizada es meramente utilizada con el propósito de personalizar la información que te facilitamos. No utilizaremos este formato para tomar decisiones que tengan un efecto legal o que te afecten de forma significativa y tienes derecho a no ser objeto de tales decisiones.

Si en tu página tomas decisiones basadas en el tratamiento automatizado de los datos que afectan al interesado, incluida la elaboración de perfiles de usuario, estás obligado a explicar en detalle la lógica que lo fundamenta. Se trata sobre todo de explicar los efectos y el alcance que estos procesos tienen sobre el interesado, porque tu usuario tiene el derecho fundamental “a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”, tal como se explica en el artículo 22.

Pero este derecho no se aplica cuando el proceso automatizado es necesario para celebrar o ejecutar un contrato, está autorizado por el Derecho de la Unión o de los Estados Miembros o cuenta con el consentimiento del usuario.

Antes de cerrar el contrato llevamos a cabo un análisis crediticio para confirmar tu solvencia.

Principios clave para una política de privacidad transparente

Para asegurar que tu política de privacidad sea efectiva y cumpla con las normativas, considera los siguientes aspectos:

• Transparencia: Sé claro y honesto sobre cómo utilizas los datos.
• Consentimiento: Obtén el consentimiento explícito de los usuarios para el uso de sus datos.
• Actualización: Mantén tu política de privacidad actualizada y adaptada a las leyes vigentes.
• Accesibilidad: Asegúrate de que la política de privacidad sea fácil de encontrar y entender para los usuarios.

Para que un e-commerce cumpla con la normativa de aplicación, deberá contar con los textos legales exigidos por la ley correctamente implementados en su plataforma.